システム監査
情報セキュリティ監査において「脆弱性評価」を実施する主な目的として、最も適切なものはどれか。
ア.財務諸表の正確性を第三者が検証し、投資家への信頼性を確保すること
イ.システムやネットワークのセキュリティ上の弱点を識別・評価し、対策の優先順位づけを行うこと正解
ウ.従業員の労働時間管理が法令に準拠しているかを検証すること
エ.システム開発プロジェクトのコストが当初予算の範囲内に収まっているかを検証すること
解説
脆弱性評価は「住宅の防犯点検」。玄関の鍵が古い・窓の施錠が甘い・センサーがない、と弱点をリストアップして「どこから直すか」優先順位を決める作業です。
なぜ イ が正解か
情報セキュリティ監査の脆弱性評価は、組織のシステム・ネットワーク・アプリケーションに存在するセキュリティ上の欠陥(脆弱性)を洗い出し、そのリスクレベルを評価します。評価結果に基づき、リスクの高い脆弱性から優先的に対策(パッチ適用・設定変更・アクセス制御強化等)を実施できます。セキュリティ投資の効率化が最大の目的です。
出典: AI生成問題(学習用)