ITパスポート 過去問
令和7年度
問93 (テクノロジ系 問38)

情報セキュリティについての文脈の中で頻繁に出てくる、脅威・脆弱性・リスクの意味を正しく理解できているか問う問題です。

それぞれの選択肢をみていきます。

選択肢を確認します。

企業がビジネスを継続していくために保有する財産・権利のことを資産といいます。（簿記用語）

うち、PCなどの情報機器によって管理されるデータなどは情報資産と呼ばれます。

この情報資産を人間が把握、認識することで利用価値を生み出すには、データを読み、編集するためのソフトウェアが必要となります。

ソフトウェアもまた人間によって開発されるものですが、それが故に人的ミスによるバグ（コーディングミスなどによる欠陥）はほぼ確実に含まれます。

このバグは利用者・開発者の観点からすると「欠陥」という認識が強くなりますが、悪意のある第三者からすると「バグにより、本来は意図しない動作もする＝脆弱性」とも取れるわけです。

（選択肢：攻撃者が付け込むことのできる情報システムの弱点→脆弱性）

悪意のある第三者は、「アップデートされていないシステム」や「ソフトウェアの致命的なバグ」が発覚すると、それを利用してシステムへの侵入を試みます。

（選択肢：情報資産に損害を与える原因となるもの→脅威）（正解）

故に、ITインフラを利用して企業活動を継続していくには、

常に攻撃者から不正アクセスを受けるリスクに配慮し、

情報セキュリティの観点で安全確保するための活動を継続しなくてはなりません。

（選択肢：情報システムの弱点を利用した攻撃によって被害を受ける可能性→リスク）

具体的には、

・自社にどのような潜在リスクがあるか

・リスクが発生した時の被害総額はいくらか

・どれくらいの信用・機会損失となるか

・リスク対策として、何をすべきか

といったことを分析し、対策を明確にする「リスクマネジメント」を実施しなくてはなりません。

（選択肢：情報資産が被害に遭う確率と被害規模の組合せ→リスク分析）