HOME»基本情報技術者試験掲示板»平成23年秋期問4 情報セキュリティ
投稿する
平成23年秋期問4 情報セキュリティ [3088]
ねねさん(No.1)
文章読解力がなく問題文が理解できない部分があります。
どなたかこちらの意味をおしえていただけますでしょうか?
はじめてこういう場所に質問するので記載方法がわかりずらかったりまちがってたらすみません!設問も長かったためかなり省略しています><
〔サーバX及びサーバYのリスク評価〕
表1~5の基準,聴取内容及びサーバXとサーバYの状況から,E君は,サーバX及びサーバYに関するリスク評価を行った。F社では,評価に当たって,表1~3の評価基準では,該当する基準の値のうちで最も小さいものを選ぶことにしている。
最後の「F社では,評価に当たって,表1~3の評価基準では,該当する基準の値のうちで最も小さいものを選ぶことにしている。」という部分がどうしても理解ができません。。。
聴取内容を基準に当てはめて、それを一つの表に数値を表すということは理解ができているのですが、この最後の一文をみると、聴取内容の基準をすべて最小の1にするのかなとも取れるとおもってしまいました。
こちらの意味どういうことでしょうか??
どなたかこちらの意味をおしえていただけますでしょうか?
はじめてこういう場所に質問するので記載方法がわかりずらかったりまちがってたらすみません!設問も長かったためかなり省略しています><
〔サーバX及びサーバYのリスク評価〕
表1~5の基準,聴取内容及びサーバXとサーバYの状況から,E君は,サーバX及びサーバYに関するリスク評価を行った。F社では,評価に当たって,表1~3の評価基準では,該当する基準の値のうちで最も小さいものを選ぶことにしている。
最後の「F社では,評価に当たって,表1~3の評価基準では,該当する基準の値のうちで最も小さいものを選ぶことにしている。」という部分がどうしても理解ができません。。。
聴取内容を基準に当てはめて、それを一つの表に数値を表すということは理解ができているのですが、この最後の一文をみると、聴取内容の基準をすべて最小の1にするのかなとも取れるとおもってしまいました。
こちらの意味どういうことでしょうか??
2021.03.12 22:45
ねねさん(No.2)
濁点さん(No.3)
長くなりそうなのでとりあえず、空欄aの問題が何故8になるかを書きます。
「リスクの値=情報資産の価値×脅威×脆弱性」ですので、サーバXの分類が機密性の行の網掛け部分3つを考えなくてはいけないです。
まず、表8の1番上に記入されているタイトル行を見て、「機密性」=「情報資産」、「なりすまし」=「脅威」、「パスワード管理の不備」=「脆弱性」であることを理解しましょう。
最初に情報資産である機密性の横の網掛けについて考えます。
サーバXは、[サーバX及びサーバY]に記載されている通り、調達先一般情報のデータベースが稼動しています。
つまり、[社内関連部門からの聴取内容](1):調達先一般情報を見なければなりません。
①に「(中略)社外には公開できない。」とあります。
機密性の評価基準である表1を見てみます。
「社外には公開できない」=「社内だけに開示できる」ですから、機密性の横の網掛けは「2」になります。
次になりすましの横の網掛けについて考えます。
「なりすまし」=「脅威」ですので表6を見ます。
表6の脅威の列を見れば、なりすましの横の網掛けは「2」ということが分かります。
最後にパスワード管理の不備の横の網掛けについて考えます。
「パスワード管理の不備」=「脆弱性」ですので表6を見ます。
表6の脆弱性の列を見れば、パスワード管理の不備の横の網掛けは「2」ということが分かります。
冒頭の「リスクの値=情報資産の価値×脅威×脆弱性」の公式にこれらを当てはめると、「リスクの値=2×2×2」で答えは「8」になります。
「リスクの値=情報資産の価値×脅威×脆弱性」ですので、サーバXの分類が機密性の行の網掛け部分3つを考えなくてはいけないです。
まず、表8の1番上に記入されているタイトル行を見て、「機密性」=「情報資産」、「なりすまし」=「脅威」、「パスワード管理の不備」=「脆弱性」であることを理解しましょう。
最初に情報資産である機密性の横の網掛けについて考えます。
サーバXは、[サーバX及びサーバY]に記載されている通り、調達先一般情報のデータベースが稼動しています。
つまり、[社内関連部門からの聴取内容](1):調達先一般情報を見なければなりません。
①に「(中略)社外には公開できない。」とあります。
機密性の評価基準である表1を見てみます。
「社外には公開できない」=「社内だけに開示できる」ですから、機密性の横の網掛けは「2」になります。
次になりすましの横の網掛けについて考えます。
「なりすまし」=「脅威」ですので表6を見ます。
表6の脅威の列を見れば、なりすましの横の網掛けは「2」ということが分かります。
最後にパスワード管理の不備の横の網掛けについて考えます。
「パスワード管理の不備」=「脆弱性」ですので表6を見ます。
表6の脆弱性の列を見れば、パスワード管理の不備の横の網掛けは「2」ということが分かります。
冒頭の「リスクの値=情報資産の価値×脅威×脆弱性」の公式にこれらを当てはめると、「リスクの値=2×2×2」で答えは「8」になります。
2021.03.13 01:35
濁点さん(No.4)
すみません。長くなるので分けました。
質問の「F社では,評価に当たって,表1~3の評価基準では,該当する基準の値のうちで最も小さいものを選ぶことにしている。」が理解できないという問いに対する回答をします。
空欄aでいえば「(中略)社外には公開できない。」という部分を見るとわかります。
上記の通り機密性に関する模範解答は「社外には公開できない」=「社内だけに開示できる」ですが、「社外には公開できない」は何も「社内だけに開示できる」だけに当てはまることではありません。
ようは「社外」でなければ良いわけです。
「部門内だけに開示」の「部門」は「社内」にあるので「社外」ではありませんし、「必要最低限の関係者」も「社外には公開できない」のですから「社外」の人間ではなく「社内」の人間です。
つまり「社内だけに開示」も「部門内だけに開示」も「必要最低限の関係者」もどれも条件として当てはまってしまうわけです。
そうなるとどれを選択したら良いかわかりませんよね。
ですので、「該当する基準として最も小さい値」を選ぶように書いてあるのです。
ちなみに、最小の1は「社外に公開できる」なので空欄aでは選択できません。
質問の「F社では,評価に当たって,表1~3の評価基準では,該当する基準の値のうちで最も小さいものを選ぶことにしている。」が理解できないという問いに対する回答をします。
空欄aでいえば「(中略)社外には公開できない。」という部分を見るとわかります。
上記の通り機密性に関する模範解答は「社外には公開できない」=「社内だけに開示できる」ですが、「社外には公開できない」は何も「社内だけに開示できる」だけに当てはまることではありません。
ようは「社外」でなければ良いわけです。
「部門内だけに開示」の「部門」は「社内」にあるので「社外」ではありませんし、「必要最低限の関係者」も「社外には公開できない」のですから「社外」の人間ではなく「社内」の人間です。
つまり「社内だけに開示」も「部門内だけに開示」も「必要最低限の関係者」もどれも条件として当てはまってしまうわけです。
そうなるとどれを選択したら良いかわかりませんよね。
ですので、「該当する基準として最も小さい値」を選ぶように書いてあるのです。
ちなみに、最小の1は「社外に公開できる」なので空欄aでは選択できません。
2021.03.13 02:08
ねねさん(No.5)
濁点さん本当にありがとうございます!!
問の文章の意味がご説明いただいたことで理解できました。
どうして8になるのかまでご説明いただきとても感謝です!!
問の文章の意味がご説明いただいたことで理解できました。
どうして8になるのかまでご説明いただきとても感謝です!!
2021.03.13 15:52