ベースラインアプローチは、リスク分析の手法のひとつです。あらかじめ一定の確保すべきセキュリティレベル(ベースライン)を設定して、実装するのに必要な対策を選択して、対象となるシステムに一律に適用することを指します。
既存のガイドラインを活用できるため、短期間かつ低予算でリスクアセスメントと管理ができることがメリットです。一方、ガイドラインのレベルが高すぎるとセキュリティレベルが過剰になり、逆に低すぎる場合はリスク対策が不十分になる恐れがあるのがデメリットです。
情報セキュリティ対策を検討する際の手法の一つであるベースラインアプローチの特徴はどれか。
| ア | 基準とする望ましい対策と組織の現状における対策とのギャップを分析する。 |
| イ | 現場担当者の経験や考え方によって検討結果が左右されやすい。 |
| ウ | 情報資産ごとにリスクを分析する。 | エ | 複数のアプローチを併用して分析作業の効率化や分析精度の向上を図る。 |
答え:ア
イ:非形式的アプローチの特徴です。非形式的アプローチは、コンサルタントや担当者の経験的な判断によって分析する手法。短期間で実施できますが、コンサルタント・担当者の資質・レベル・判断次第になるおそれがあります。ウ:詳細リスク分析の特徴です。詳細リスク分析は、詳細なリスクアセスメントを実施する手法です。情報資産に対して,資産価値・脅威・脆弱性・セキュリティ要件を識別し,リスク分析します。厳密なリスク分析ができる一方で,時間・労力・専門知識が必要です。エ:組合せアプローチの特徴。組合せアプローチは、複数のアプローチを併用する手法です。重要な資産には、詳細リスク分析を使い、それ以外の資産は、ベースラインアプローチを使います。これにより、詳細リスク分析の欠点(時間・労力・専門知識が必要)を補いつつ、利点(厳密なリスク分析ができる)を得られます。
