【ITパスポート練習問題 6.3対応】(3) 脅威と脆弱性　④ 脆弱性

【解説】

正解: 3 システムの動作不良

この問題は、ソフトウェア開発における「バグ」の定義とその影響について理解しているかを確認するものです。

正解は「システムの動作不良」です。バグとはプログラム上の誤りや欠陥のことを指します。これがあると、システムが設計通りに動かなかったり、突然停止したり、計算結果が間違ったりするなど、意図しない動作不良を引き起こします。

選択肢1の「ソフトウェアの機能向上」や、選択肢2の「セキュリティレベルの向上」は、バグのない正常な開発やアップデートによって得られる成果であり、欠陥であるバグによってもたらされるものではありません。

【解説】

正解: 1 バグの再発防止策を立てること

この問題は、バグが発生した後の品質管理プロセスにおいて、単なる修正にとどまらない本質的な対応を理解しているかを確認するものです。

正解は「バグの再発防止策を立てること」です。見つかったバグを直すだけでは、別の場所で似たようなミスが繰り返される可能性があります。「なぜそのバグが混入したのか」という原因を分析し、チェック体制を見直すなどの再発防止策を講じることが、システム全体の品質向上には不可欠です。

選択肢2の「新機能の追加」や、選択肢3の「開発コストの削減」は、バグ修正プロセスの中で優先されるべき事項ではありません。

【解説】

正解: 1 コードレビューを徹底すること

この問題は、バグを後の工程に持ち込ませないための「予防的」な品質管理手法を知っているかを確認するものです。

正解は「コードレビューを徹底すること」です。プログラムを作成した本人だけでなく、他の開発者がソースコードを確認（レビュー）することで、テストを行う前の段階で論理的な誤りや記述ミスを発見し、バグを未然に防ぐことができます。

選択肢2の「納期を短縮すること」や、選択肢3の「ドキュメントを削減すること」は、確認不足や仕様の曖昧さを招き、逆にバグを増やす原因となるため不適切です。

【解説】

正解: 2 不正アクセスによる情報漏洩

この問題は、「セキュリティホール（脆弱性）」が放置された場合に、どのような具体的な脅威にさらされるかを理解しているかを確認するものです。

正解は「不正アクセスによる情報漏洩」です。セキュリティホールとは、ソフトウェアの設計ミスなどによるセキュリティ上の欠陥（穴）のことです。悪意のある攻撃者はこの穴を突いてシステム内部に侵入し、機密情報を盗み出したり改ざんしたりします。

選択肢1の「システムの安定性向上」や、選択肢3の「ソフトウェアのパフォーマンス改善」は、セキュリティホールの存在によって得られるものではなく、むしろ逆の影響が出る可能性があります。

【解説】

正解: 3 パッチの適用

この問題は、既知の脆弱性が発見された際の、システム管理者による標準的な対応手順を理解しているかを確認するものです。

正解は「パッチの適用」です。ソフトウェアベンダーから提供される修正プログラム（セキュリティパッチ）を速やかに適用することで、セキュリティホールという「穴」を塞ぎ、攻撃を受けない状態にすることが最も重要かつ直接的な対策です。

選択肢1の「経営体制の見直し」や、選択肢2の「PDCAサイクルの実施」は、組織運営や管理の枠組みの話であり、発見された個別の脆弱性への緊急対応としては適切ではありません。

【解説】

正解: 2 顧客情報の流出

この問題は、セキュリティインシデントが企業経営に与える深刻なダメージ（ビジネスインパクト）を理解しているかを確認するものです。

正解は「顧客情報の流出」です。セキュリティホールを悪用されてデータベースなどに侵入されると、氏名、住所、クレジットカード番号などの顧客情報が外部に流出する恐れがあります。これは企業の社会的信用を失墜させ、損害賠償などの莫大なコストにつながります。

選択肢1の「信頼性の向上」や、選択肢3の「収益の増加」は、被害とは逆の結果であり、セキュリティホールによってもたらされることはありません。

【解説】

正解: 2 従業員が強固でないパスワードを使用すること

この問題は、セキュリティリスクの分類において、「技術的要因」と「人的要因（ヒューマンエラーなど）」を区別できるかを確認するものです。

正解は「従業員が強固でないパスワードを使用すること」です。推測されやすいパスワード（「password」や「123456」など）を設定したり、メモに書いて貼ったりするのは、システムの問題ではなく、利用者の意識や行動に起因する「人的脆弱性」の典型例です。

選択肢1の「システムの自動バックアップ」や、選択肢3の「ソフトウェアのバージョンアップ」は、技術的な対策や運用プロセスに関する記述であり、人的脆弱性ではありません。

【解説】

正解: 1 従業員へのセキュリティ教育を強化すること

この問題は、人の意識や行動に起因するセキュリティリスクを低減させるための、最も基本的な対策を理解しているかを確認するものです。

正解は「従業員へのセキュリティ教育を強化すること」です。人的脆弱性は、「知らない」「意識が低い」ことから生じます。そのため、定期的な研修や訓練を通じて、パスワード管理の重要性や怪しいメールの見分け方などを教育し、従業員のリテラシーを高めることが最も効果的です。

選択肢2の「ITインフラの物理的セキュリティを強化すること」は物理的対策、選択肢3の「パスワードを使わないシステムを導入すること」は技術的対策であり、人的側面への直接的なアプローチではありません。

【解説】

正解: 2 内部からの情報漏洩

この問題は、従業員の不注意や悪意といった人的要因が引き起こす具体的なセキュリティ事故を理解しているかを確認するものです。

正解は「内部からの情報漏洩」です。人的脆弱性があると、うっかりメールの宛先を間違えたり、機密データを許可なく持ち出したり、あるいはフィッシング詐欺に引っかかったりすることで、内部から情報が漏れるリスクが高まります。

選択肢1の「ソフトウェアのバグが増加」は開発工程の問題であり、選択肢3の「システムの処理速度向上」は性能の問題であるため、利用者の人的脆弱性とは直接関係ありません。

【解説】

正解: 2 データの漏洩

この問題は、企業が許可していないIT機器やサービスを利用する「シャドーIT」のリスクを理解しているかを確認するものです。

正解は「データの漏洩」です。社員が会社の許可を得ずに個人のスマートフォンや無料のクラウドストレージなどを業務に利用すると、それらは会社のセキュリティ管理下にはないため、ウイルス感染や設定ミス、紛失などによって業務データが外部に漏れるリスクが非常に高くなります。

選択肢1の「IT予算の増加」や、選択肢3の「業務効率の低下」も側面としてはあり得ますが、セキュリティ上の最大のリスクとしては情報漏洩が最も適切です。

【解説】

正解: 3 承認されたIT機器やソフトウェアの使用を徹底すること

この問題は、シャドーITを防ぐための組織的なルール作りと運用のポイントを理解しているかを確認するものです。

正解は「承認されたIT機器やソフトウェアの使用を徹底すること」です。会社が安全性を確認して許可したツール以外は業務で使用させないというルールを明確にし、それを従業員に遵守させることが防止策の基本です。必要に応じて、監視ツールなどで未許可端末の接続をブロックすることも有効です。

選択肢1の「従業員のITリテラシー向上」や、選択肢2の「社内規定を見直すこと」も重要な要素ですが、具体的に「承認されたものに限定する」という運用徹底が最も直接的な防止策となります。

【解説】

正解: 3 IT資産の管理が困難になること

この問題は、シャドーITが企業のITガバナンス（統治）に与える悪影響を理解しているかを確認するものです。

正解は「IT資産の管理が困難になること」です。誰がどのデバイスを使い、どのクラウドサービスに何のデータを保存しているかが把握できなくなるため、企業としてIT資産の全体像が見えなくなります。これは、セキュリティ対策の抜け穴となるだけでなく、コンプライアンス違反にもつながります。

選択肢1の「社内コミュニケーションの向上」や、選択肢2の「セキュリティ対策の強化」は、管理不能な状態であるシャドーITによってもたらされるものではありません。