応用情報技術者 2022年 春期 午前2 問43
問題文
JIS Q 27000:2019 (情報セキュリティマネジメントシステム用語) における “リスクレベル”の定義はどれか。
選択肢
ア:脅威によって付け込まれる可能性のある、資産又は管理策の弱点
イ:結果とその起こりやすさの組合せとして表現される、リスクの大きさ(正解)
ウ:対応すべきリスクに付与する優先順位
エ:リスクの重大性を評価するために目安とする条件
JIS Q 27000:2019 における「リスクレベル」の定義【午前2 解説】
要点まとめ
- 結論:リスクレベルは「結果とその起こりやすさの組合せとして表現されるリスクの大きさ」を指します。
- 根拠:JIS Q 27000:2019はリスクを「結果(影響)と発生確率の組み合わせ」と定義し、その大きさをリスクレベルとしています。
- 差がつくポイント:リスクレベルは単なる脅威や優先順位ではなく、影響度と発生確率の両面から評価する点を理解することが重要です。
正解の理由
イは「結果とその起こりやすさの組合せとして表現される、リスクの大きさ」と定義されており、JIS Q 27000:2019のリスクレベルの定義に完全に一致します。リスクレベルはリスクの影響度(結果)と発生確率(起こりやすさ)を掛け合わせて評価するため、リスクの大きさを示す指標です。
よくある誤解
リスクレベルを「脅威の存在」や「優先順位」と混同しやすいですが、リスクレベルはあくまでリスクの大きさを示す定量的・定性的な評価指標です。
解法ステップ
- 問題文の「リスクレベル」の定義を正確に把握する。
- JIS Q 27000:2019のリスク関連用語の基本を確認する。
- 選択肢の用語の意味を整理し、リスクレベルの定義と照合する。
- 「結果(影響)」と「起こりやすさ(発生確率)」の組合せである選択肢を選ぶ。
- 他の選択肢がリスクレベルの定義と異なる点を確認し除外する。
選択肢別の誤答解説
- ア:脆弱性の説明であり、リスクレベルの定義ではありません。
- イ:正解。リスクの大きさを示す定義です。
- ウ:リスクの優先順位付けに関する説明で、リスクレベルの定義とは異なります。
- エ:リスク評価の基準や目安を指し、リスクレベルそのものの定義ではありません。
補足コラム
リスクレベルは情報セキュリティマネジメントにおいて、リスク対応の優先順位を決める重要な指標です。リスクの「影響度」と「発生確率」を掛け合わせて評価し、数値化やランク付けを行うことで、効果的な管理策の選定が可能になります。
FAQ
Q: リスクレベルとリスクの優先順位は同じですか?
A: いいえ。リスクレベルはリスクの大きさを示し、優先順位はそのリスクに対する対応の順序を示します。
A: いいえ。リスクレベルはリスクの大きさを示し、優先順位はそのリスクに対する対応の順序を示します。
Q: 脆弱性はリスクレベルの一部ですか?
A: 脆弱性はリスクを生じさせる要因の一つですが、リスクレベル自体の定義ではありません。
A: 脆弱性はリスクを生じさせる要因の一つですが、リスクレベル自体の定義ではありません。
関連キーワード: リスクレベル、JIS Q 27000, 情報セキュリティ、リスク評価、脅威、脆弱性
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!