応用情報技術者 2009年 秋期 午前2 問41
問題文
JIS Q 2001:2001 に規定されたリスク算定の定量的評価を、組織のセキュリティ対策の優先度を検討するリスク分析に適用したものはどれか。
選択肢
ア:過去に発生した被害件数と対策の難易度で評価する。
イ:攻撃に対する対処時間と被害の顕在性で評価する。
ウ:攻撃元の特定可否と攻撃手法の新しさで評価する。
エ:被害が発生する確率と被害額で評価する。(正解)
JIS Q 2001:2001 に規定されたリスク算定の定量的評価【午前2 解説】
要点まとめ
- 結論:リスク算定の定量的評価は「被害が発生する確率」と「被害額」で評価することが基本です。
- 根拠:JIS Q 2001:2001 はリスクを「発生確率」と「影響度(被害額)」の積で定量的に評価する手法を示しています。
- 差がつくポイント:リスク分析で優先度を決める際、定性的な指標ではなく数値化された確率と損失額を用いることが重要です。
正解の理由
選択肢エは「被害が発生する確率」と「被害額」で評価すると明記しており、JIS Q 2001:2001 のリスク算定の定量的評価の定義に合致します。リスクは「リスク=発生確率×影響度(被害額)」で計算され、これにより客観的かつ比較可能な評価が可能です。
よくある誤解
リスク評価を「過去の被害件数」や「攻撃手法の新しさ」などで行うのは定性的評価であり、定量的評価とは異なります。確率と被害額の組み合わせが定量評価の基本です。
解法ステップ
- 問題文の「JIS Q 2001:2001 に規定されたリスク算定の定量的評価」を確認する。
- 定量的評価の意味を理解し、「数値化された確率と影響度」を探す。
- 選択肢を比較し、確率と被害額を用いているものを選ぶ。
- 選択肢エが該当するため、正解と判断する。
選択肢別の誤答解説
- ア:過去の被害件数や対策の難易度は定性的であり、定量的評価ではありません。
- イ:対処時間や被害の顕在性は評価指標として曖昧で、JIS Q 2001の定量的評価とは異なります。
- ウ:攻撃元の特定可否や攻撃手法の新しさはリスクの定量的評価には含まれません。
- エ:被害発生確率と被害額を用いており、定量的評価の正しい方法です。
補足コラム
JIS Q 2001:2001はリスクマネジメントの国際規格ISO 31000の考え方を踏まえ、リスクを「発生確率」と「影響度」の積で評価します。これにより、組織はリスクの大小を数値で比較し、対策の優先順位を合理的に決定できます。
FAQ
Q: リスクの定量的評価と定性的評価の違いは何ですか?
A: 定量的評価は数値データ(確率や損失額)を用いてリスクを計算し、定性的評価は言葉やランクでリスクを評価します。
A: 定量的評価は数値データ(確率や損失額)を用いてリスクを計算し、定性的評価は言葉やランクでリスクを評価します。
Q: なぜ被害額を使うのですか?
A: 被害額はリスクの影響度を具体的に示し、対策の費用対効果を判断するために重要です。
A: 被害額はリスクの影響度を具体的に示し、対策の費用対効果を判断するために重要です。
関連キーワード: リスク算定、定量的評価、JIS Q 2001, セキュリティ対策、リスク分析
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!