情報処理安全確保支援士試験の対策動画です。令和5年秋期午前2問11で出題されたJIS Q 27000の用語定義について、サクラ先輩と新人エンジニアのモモちゃんと一緒に分かりやすく徹底解説します。脅威と脆弱性の違いや、リスクアセスメントのプロセスなど、間違いやすいポイントを整理し、暗記ではなく意味とプロセスで紐づけて解答を導き出す思考プロセスを身につけましょう。AIリスク管理にも触れています。 JIS Q 27000は情報セキュリティマネジメントシステムに関する用語が定義されたJIS規格です。この規格ではそれぞれの言葉に厳密な定義があり、試験では主語と説明文が入れ替わっているクロストラップと呼ばれる引っかけ問題がよく出題されるため、注意が必要です。まず、脅威とはシステムや組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因のことです。外部からやってくる要因であり、ハッカーやマルウェア、自然災害などがこれに該当します。一方、脆弱性とは、一つ以上の脅威によって付け込まれる可能性がある、資産または管理策の弱点のことです。自分たちのシステムにある穴のことで、OSのバグやパスワードの使い回しなどが例として挙げられます。脅威が脆弱性を突くことでインシデントが発生するという関係性をイメージすることが重要です。試験の選択肢では、脅威が弱点と説明されたり、脆弱性がインシデントの原因と説明されたりすることがあるため、主語とキーワードを線で結んで確認するセオリーが有効です。 次に、リスクアセスメントのプロセスについて理解を深めましょう。リスクアセスメントは、リスク特定、リスク分析、リスク評価という3つのステップで構成されます。最初のステップであるリスク特定とは、リスクを発見、認識、および記述するプロセスです。これにはリスク源、事象、それらの原因および起こり得る結果の特定が含まれます。つまり、何が起きるかを見つけて記述する段階です。次のリスク分析では、特定されたリスクの特質を理解し、その起こりやすさと影響度を測ってレベルを決定します。そして、リスク評価とは、リスク分析の結果をリスク基準と比較し、リスクの大きさが受容可能か許容可能かを決定するプロセスのことです。分析結果と基準を比較して評価を下す段階であり、ここで対応が必要かどうかを決めます。 リスクアセスメントの後に行われるのがリスク対応です。リスク対応とは、実際にリスクを修正するプロセスのことであり、リスクを低減、移転、回避、または受容するといった具体的な対策を実行する行動を指します。試験では、比較して評価するプロセスをリスク対応と説明するような、アセスメント内のプロセスを混同させるトラップが出題されることがあります。比較して評価するのはリスク評価であり、リスク対応は実際の行動であるという違いをしっかり認識してください。 現在では、かつて手動で管理していたリスク特定から評価までのプロセスが、AI駆動型の継続的脅威エクスポージャー管理ツールによってリアルタイムかつ自動で実行されるのが主流となっています。しかし、ツールが自動化してくれても、根底にあるリスク特定、リスク分析、リスク評価、リスク対応というプロセスの意味を人間が理解していなければ、AIの判断を正しく評価することはできません。用語の定義を丸暗記するのではなく、それぞれの意味や関係性、プロセスとしての一連の流れをしっかりと紐づけて理解することで、試験対策だけでなく実務にも活かすことができます。 www.youtube.com