非形式的アプローチは、リスク分析の手法のひとつで、組織や担当者の経験や判断に基づいて分析する手法です。セキュリティの専門家が、自身の経験や直感を頼りにリスクを評価します。
メリットとしては、自社特有のリスクを把握しやすく、分析にかかる工数も少なくて済むことです。一方で、担当者の主観に左右されやすく、分析の質にばらつきが出ることや、最新の脅威への対応や、継続的なセキュリティ向上が難しいことがデメリットとされます。
一般財団法人日本情報経済社会推進協会のISMSユーザーズガイド(リスクマネジメント編)などが、情報セキュリティリスクアセスメントを実施するためのアプローチとして、ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、組み合わせアプローチの4つを紹介している。これらのアプローチに関する記述として最も適切なものはどれか。
| ア | ベースラインアプローチとは、システムの最も基本的な部分を選び、これに確保すべき一定のセキュリティレベルを設定して、現状とのギャップをリスクとして評価することを指す。 |
| イ | 非形式的アプローチとは、組織や担当者の経験や判断によってリスクを評価することを指す。 |
| ウ | 詳細リスク分析とは、システムをサブシステムに分解し、そのシステムごとにリスク評価を行うことを指す。 | エ | 組み合わせアプローチとは、システムをサブシステムに分解し、その組み合わせすべてについてリスク評価を行うことを指す。 |
答え:イ
ア:一般の情報セキュリティに関する基準などを参照に、共通のセキュリティ対策を実施する手法のため誤りです。ウ:対象の資産に対して、「資産価値」、「脅威」、「脆弱性」やセキュリティ要件を設定して評価することです。エ:ベースラインアプローチと詳細リスク分析を併用する手法のため誤りです。
