ホーム > データベーススペシャリスト試験 > 2009年
データベーススペシャリスト試験 2009年 午前2 問17
情報システムのリスク分析に関する記述のうち, 適切なものはどれか。
ア:リスクには, 投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは、投機的リスクである。
イ:リスクの予想損失額は, 損害予防のために投入されるコスト, 復旧に要するコスト, 及びほかの手段で業務を継続するための代替コストの合計で表される。
ウ:リスク分析では、現実に発生すれば損失をもたらすリスクが, 情報システムのどこに, どのように潜在しているかを識別し, その影響の大きさを測定する。(正解)
エ:リスクを金額で測定するリスク評価額は, 損害が現実のものになった場合の1回当たりの平均予想損失額で表される。
解説
情報システムのリスク分析に関する記述のうち, 適切なものはどれか。【午前2 解説】
要点まとめ
- 結論:リスク分析は、情報システムに潜むリスクの場所や影響を特定し、その大きさを評価することが目的です。
- 根拠:リスク分析はリスクの識別と影響測定を通じて、適切な対策を立てる基盤となります。
- 差がつくポイント:投機的リスクと純粋リスクの区別や、リスクの金額評価の意味を正確に理解することが重要です。
正解の理由
選択肢ウは、リスク分析の本質を正しく表現しています。リスク分析とは、情報システムに潜在するリスクを「どこに」「どのように」存在するかを識別し、そのリスクが発生した場合の影響度を測定するプロセスです。これにより、リスクの優先順位付けや対策の検討が可能になります。
よくある誤解
リスク分析で対象とするのは「投機的リスク」ではなく、主に「純粋リスク」であることが多いです。また、リスクの予想損失額は単にコストの合計ではなく、発生確率と損失額の積で評価します。
解法ステップ
- リスクの種類(投機的リスクと純粋リスク)を理解する。
- リスク分析の目的がリスクの識別と影響評価であることを確認する。
- 各選択肢の記述がリスク分析の定義や手法に合致しているか検証する。
- 正しいリスク分析の説明を含む選択肢を選ぶ。
選択肢別の誤答解説
- ア: 投機的リスクは利益も損失もあり得るリスクであり、情報セキュリティのリスク分析では主に損失のみの純粋リスクを対象とします。
- イ: リスクの予想損失額は、損害予防コストや復旧コストの合計ではなく、損失の発生確率と損失額の期待値で評価します。
- ウ: リスク分析の基本的な考え方を正しく述べており、適切な選択肢です。
- エ: リスク評価額は1回当たりの平均損失額ではなく、発生確率を考慮した期待損失額で表すのが一般的です。
補足コラム
リスク分析はリスクマネジメントの第一歩であり、リスクの識別・評価・対応策の策定に役立ちます。情報システムのリスクは技術的要因だけでなく、人的要因や物理的要因も含まれるため、総合的な視点が求められます。
FAQ
Q: 投機的リスクと純粋リスクの違いは何ですか?
A: 投機的リスクは利益も損失も発生する可能性があるリスクで、純粋リスクは損失のみが発生するリスクです。情報セキュリティでは主に純粋リスクを扱います。
A: 投機的リスクは利益も損失も発生する可能性があるリスクで、純粋リスクは損失のみが発生するリスクです。情報セキュリティでは主に純粋リスクを扱います。
Q: リスクの予想損失額はどのように計算しますか?
A: 発生確率と損失額の積(期待値)で計算し、単なるコストの合計ではありません。
A: 発生確率と損失額の積(期待値)で計算し、単なるコストの合計ではありません。
関連キーワード: リスク分析, 情報セキュリティ, 純粋リスク, 投機的リスク, リスク評価, リスクマネジメント