平成26年春期 午後問1について

FE受かりたいマンさん  
(No.1)
問題自体は解けましたが解いてて一つ気になった事があったので質問させてください。
この問題ではそれぞれの脅威に対して「情報資産の価値×脅威×脆弱性」の公式を当てはめてリスク値を算出していました。
自分が疑問に思ったのは計算に使われてる情報資産の価値の値です。
例えば脅威T5ですが、機密性は損なわれますが完全性や可用性に影響はないように思われます。
しかし計算ではCIAそれぞれの値を使ってリスク値を割り出していました。
素人の考えですと機密性の値だけ使って計算した方が正しい値のような気がします。
何故すべての値で計算しているのかご教授いただけますと幸いです。
2022.02.22 14:57
FE受かりたいマンさん  
(No.2)
忘れていました、問題のURLです。
https://www.fe-siken.com/kakomon/26_haru/pm01.html
2022.02.22 16:00
chihiroさん 
FE プラチナマイスター
(No.3)
何か誤解があるようですので整理します。
本問で行っていることは、情報資産のリスク値をCIA(機密性・完全性・可用性)のそれぞれの観点から算出することです。3つの観点すべてについて行うべきで、完全性や可用性は影響がなさそうだから計算しなくていいということはありません。
まず、情報資産の価値の数値化を②で行います。No.4の顧客のテストデータであれば、流出したら機密性が失われるので3点がつけられたり、一方で可用性にはあまり影響がなさそうなので1点がつけられていますね(完全性に2点がつけられている理由はよくわかりません)。ここで数値化されたものが各観点の評価のベースとなります。
③では脅威の数値化を行いますが、脅威の点数はその脅威の発生確率だけで決めます。
>"脅威"は,発生の可能性の大きさを 1~3 の値で評価する。
なのでここでは完全性や可用性に影響なさそうなどとは一切考えません。それは②の時点で済んでいます。
最後に④で脆弱性の評価を行います。③の脅威に対してどれだけ対策をとっているか(とれるか)を評価します。対策がとれない、とるのが困難な脅威ほど危険と考えます。ここでも他のことについては一切考慮しません。
④まで済んだら②~④の点数に基づいて各観点のリスク値を算出します。
>C,I,Aごとに算出したリスク値が全て 12 以下ならばリスクを受容し,そうでないならば追加のリスク対策を実施することにしている。
とあるように、3つのリスク値すべてに基づいて対応するので、算出しなくていいリスク値なんてありません。長くなりましたが以上です。
2022.02.22 16:00
FE受かりたいマンさん  
(No.4)
>chihiroさん
解説ありがとうございます!
何度も読み返したのですが自分の理解力のなさもありモヤモヤが解消されませんでした…。
CIAの数値はそれぞれが損なわれた時の損失の大きさだけから算出されると思っていたのですが
発生しそうな脅威の一覧に対して影響が及ぼなさそうな項目(テストデータであればA)は低めに見積もられるので
正しいリスク値が導き出せるという事でしょうか?
違っていたら申し訳ありません。
2022.02.22 17:45
chihiroさん 
FE プラチナマイスター
(No.5)
>CIAの数値はそれぞれが損なわれた時の損失の大きさだけから算出されると思っていたのですが
それで合っています。
>"情報資産の価値"とは情報資産が損なわれたときの影響の大きさを意味し
とあるので。価値が高い=失ったときの影響が大きいということです。
>発生しそうな脅威の一覧に対して影響が及ぼなさそうな項目(テストデータであればA)は低めに見積もられるので正しいリスク値が導き出せるという事でしょうか?
情報資産の価値が低ければ、ある脅威に対するリスク値も低くなります。例えば脅威や脆弱性の点数が3でも、ある観点における情報資産の価値が1であればリスク値は9となり、リスク対策を実施する基準となる12を下回ります(当然他の観点におけるリスク値も加味する必要はありますが)。
リスク値はある脅威に対して対策を講じるかどうかの指標です。上でも述べた通り、CIAのどれか1つでも12を超えていれば追加の対策を行わなくてはいけません。例えば機密性や完全性のリスク値が12以下でも可用性のリスク値が12を超えていればリスク対策は必要です。完全性や可用性は影響ないから大丈夫とか考えなくてもいいとかではなく、総合的に評価しなければならないのです。疑問点がややつかみづらくてうまく回答できなかったのですが、これでいかがでしょうか。
2022.02.22 18:13
FE受かりたいマンさん  
(No.6)
> chihiroさん
続けて解説していただいたのに申し訳ありません…。
まだうまく理解することが出来ません。
例えばCが3、残りが1の情報資産があったとして度々サーバーが落ちるという脅威があった場合、
可用性の低下を招いても対して影響がない資産なのに機密性の視点から見たら
リスク値が基準値を超えて対策しないといけなくなるって事でしょうか…?
それだとCIAで一番高い値以外を使ってリスク値を算出する必要がないように感じます。
平成26年春期の午後問1みたいに脅威がそれぞれ影響を与えそうなCIAの項目に
分かれて書かれてあったら理解できるのですが…。
2022.02.22 19:53
chihiroさん 
FE プラチナマイスター
(No.7)
言わんとしていることがようやく分かりました。
3つの観点におけるリスク値のうち、1つでも基準値を超えている場合に追加の対策を行うのであれば、CIAの中で最も高い値(No.4で言えばCの3)を用いたリスク値と基準値を比較すれば済むのではないか、ということですかね。なるほど、確かに本問の場合は3つそれぞれのリスク値について比較するのも最も高いリスク値1つだけを比較するのも変わりませんね。ただ評価法によっては、情報資産の価値をそれぞれ乗算したもの(=C×A×I)を、情報資産の重要度としてリスク分析に用いることもあるので、他の観点における資産価値が不要になるとは限りません。
>例えばCが3、残りが1の情報資産があったとして度々サーバーが落ちるという脅威があった場合、可用性の低下を招いても対して影響がない資産なのに機密性の視点から見たらリスク値が基準値を超えて対策しないといけなくなるって事でしょうか…?
機密性の観点におけるリスク値が12を超える場合は、他のリスク値がいくら低かろうと対策を講じなければなりません。他が大丈夫でも機密性の観点では危険なのですから。
2022.02.22 20:19
FE受かりたいマンさん  
(No.8)
>chihiroさん
分析法によって情報資産の価値の出し方が変わるのですね。
乗算の計算法の方がしっくり来ます。
どういう条件で脅威を絞り出したいかによって分析法を選ぶと考えたら理解出来ました!
自分の未熟な文章に付き合って頂き本当にありがとうございました。
おかげでリスクアセスメントについて理解が深まった気がします。
あまりこの辺りの話を深堀した基本情報の解説書に出会った事がなかったので助かりました。
2022.02.22 20:49

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop