【ITパスポート講座⑨】過去問を解きながらセキュリティ管理問題を理解する！

こんにちは、インフラエンジニアのryuです。

今回は、ITパスポートセキュリティ管理の問題について詳しく解説していきたいと思います。

私はインフラエンジニアとして働いていますが、セキュリティのことは必ず考えながら設計、構築しています。セキュリティ管理は、リスクマネジメントや、運用に近い部分の知識になります。IT部門で働いている人は知っておいて損はない知識だと思います!ITパスポートの過去問を解説しながらセキュリティ管理問題について学びましょう。

※本ページには、プロモーション・アフィリエイトリンクが含まれています

ITパスポートで出題されるセキュリティ管理問題
1.リスクマネジメント
- リスクアセスメントとは
- リスク対応について
2. 情報セキュリティ管理
さいごに

ITパスポートで出題されるセキュリティ管理問題

まず、ITパスポートのシラバスを確認して、どのような問題が出題されるのかを知りましょう。

・リスクマネジメントの必要性を理解する。
・情報セキュリティ管理と個人情報保護の目的や基本的な考え方を理解する。
・組織内外の代表的な情報セキュリティ組織・機関，及び関連する制度を理解する。
(ITパスポートシラバスより)

シラバスには、上記のように書かれていました。つまり、どのようなリスクがあるのか、情報を扱う上で気を付けることはなにか、セキュリティに関する制度の3つを理解すればよいということです。

では、この3点について過去問を解きながら解説していきます！

1.リスクマネジメント

リスクとは、予測できない危険、損害を受ける可能性のことです。リスクマネジメントは、予測できないで危険をどのように管理するかということです。

管理するためには２つのポイントがあります。

起こりうるリスクを洗い出し、評価する→リスクアセスメント
起こりうるリスクをどう対応するか

この2点について、理解すればよいです！

リスクアセスメントとは

リスクアセスメントとは、起こりうる危険を洗い出し、評価し、どのような被害が起こるのかを分析するプロセスのことです。アセスメントには、評価、査定、分析という意味があります。では、ITパスポートでどのような問題が出題されるか見てみましょう。

次の作業a～dのうち，リスクマネジメントにおける，リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a. リスク特定 b. リスク分析 c. リスク評価 d. リスク対応
ア. a，b
イ. a，b，c
ウ. b，c，d
エ. c，d
(ITパスポート過去問ドットコムより)

答えは”イ”ですね。先ほど書いた文章をもう一度書くと、

リスクアセスメントとは、起こりうる危険を洗い出し(リスク特定)、評価(リスク評価)し、どのような被害が起こるのかを分析(リスク分析)するプロセスのことです。

リスク対応について

リスクアセスメントでどのようなリスクが起こるかを分析したら、その次はもしリスクが起きた場合、被害が少なくするなるように考えます。

例えば、車を購入するとき、事故が起こることに備えて、保険に加入しますよね。それは、リスクを保険会社に移転するリスク移転をしていることになります。

他にも、リスク受容、リスク回避、リスク低減、リスク共有、リスク保有、リスク分散などがあります。すべて説明すると長くなるので割愛しますが、ITパスポートで出題された場合、問題文をよく読み、意味を理解すれば、どの対応に当てはまるかわかると思います。

2. 情報セキュリティ管理

ここの分野はISMS(情報セキュリティマネジメントシステム）の考え方について出題されます。ここで良く出題されるのが情報セキュリティの３つの要素についてです。

機密性
完全性
可用性

では、過去問を見ていきましょう。

情報セキュリティの三大要素である機密性，完全性及び可用性に関する記述のうち，最も適切なものはどれか。
ア. 可用性を確保することは，利用者が不用意に情報漏えいをしてしまうリスクを下げることになる。
イ. 完全性を確保する方法の例として，システムや設備を二重化して利用者がいつでも利用できるような環境を維持することがある。
ウ. 機密性と可用性は互いに反する側面をもっているので，実際の運用では両者をバランスよく確保することが求められる。
エ. 機密性を確保する方法の例として，データの滅失を防ぐためのバックアップや誤入力を防ぐための入力チェックがある。
(ITパスポート過去問ドットコムより)

まず、３つの要素について説明します。