基本情報技術者 2014年 秋期 午前（科目A） 問39

リスクアセスメントに関する記述【午前2 解説】

要点まとめ

• 結論：リスクアセスメントでは、損失額と発生確率の組合せで算出されるリスクの大きさに基づき、資源配分と対応の優先順位を決めることが適切です。
• 根拠：有効なアセスメントは将来損失の最小化を目標に、過去データや専門知見で影響度と発生確率を評価し意思決定を支援します。
• 差がつくポイント：過去事例を参照して予測精度を高め、定期的な見直しと残留リスク管理、費用対効果を踏まえた対策を行うことが重要です。

正解の理由

よくある誤解

• 「全てのリスク対応が完了してからアセスメントを行うべき」と考える誤解：アセスメントは継続的なプロセスで、対応完了を待つ必要はありません。
• 「過去データは不要で参照してはならない」とする誤解：過去データは発生確率や影響度の推定に役立ちます。参照を避ける理由はありません。
• 「リスクは顕在化してから評価すればよい」という誤解：事後対応では損失を防げないため、事前評価が重要です。

解法ステップ

1. 選択肢中のキーワード（例：損失額、発生確率、過去データ、顕在化してから）に着目します。
2. リスクアセスメントの目的（将来の損失を防ぐ、優先順位付け）を確認します。
3. 各選択肢が「予防的・継続的な評価」か「事後的・非推奨な手法」かを判断します。
4. 「損失額×発生確率」に基づく優先順位付けを述べている選択肢を正とします。

選択肢別の誤答解説

• ア: 以前に洗い出された全てのリスクへの対応が完了する前に、リスクアセスメントを実施することは避ける。
  • 誤り。リスクアセスメントは継続的プロセスであり、対応が完了していない段階でも再評価や優先順位付けを行う必要があります。対応は段階的に行うのが現実的です。
• イ: 将来の損失を防ぐことがリスクアセスメントの目的なので、過去のリスクアセスメントで利用されたデータを参照することは避ける。
  • 誤り。過去データは発生確率や影響の推定に有用であり、参照することで評価の精度が向上します。
• ウ: 損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で、対応の優先順位を付ける。
  • 正解。リスクの大きさ（期待損失等）に基づく優先順位付けは、合理的な資源配分を可能にします。
• エ: リスクアセスメントはリスクが顕在化してから実施し、損失額に応じて対応の予算を決定する。
  • 誤り。これは事後的な考え方で、事前評価と予防策の策定が不可欠です。顕在化後では損失を防げない場合が多く、コストも増大します。

補足コラム

• 定量評価と定性評価：定量評価では期待損失（例：ALE = SLE × ARO）を算出して比較し、定性評価ではリスクマトリクス（影響度×確率のグリッド）で分類します。どちらも長所短所があり、組織の状況に応じて併用すると良いでしょう。
• コスト対効果：対策の実施判断はリスク削減効果と対策コストを比較して行います。制御の費用が削減期待額を上回る場合は別の選択（受容・移転など）を検討します。
• リスク対応の選択肢：回避（Avoid）、軽減（Mitigate）、移転（Transfer）、共有（Share）、受容（Accept）を使い分けます。アセスメントはこれらの判断材料を提供します。

FAQ

• Q: 過去データがほとんどない場合はどう評価すればよいですか？
  A: 類似事例や業界データ、専門家の意見、シナリオ分析を用い、定性的評価でリスクの大きさを推定します。後で実データが得られたら見直します。
• Q: 定量評価が難しいときは？
  A: リスクマトリクスやランク付け（高・中・低）などの定性手法で優先順位を付け、重要リスクについては詳細な定量評価を行います。
• Q: リスクアセスメントの頻度はどれくらいが適切ですか？
  A: 定期（年次など）および組織やシステムに重大な変更があった場合、インシデント発生後には即時見直しを行うのが望ましいです。