ITパスポート 2014年 秋期 問47
問題文
情報セキュリティのリスクマネジメントにおいて、リスクの重大さを決定するために、算定されたリスクを与えられた基準と比較するプロセスはどれか。
選択肢
ア:リスク対応
イ:リスクの特定
ウ:リスク評価(正解)
エ:リスク分析
🔒 解説は解答すると表示されます
情報セキュリティのリスクマネジメントにおいて、リスクの重大さを決定するために、算定されたリスクを与えられた基準と比較するプロセスはどれか。【ITパスポート 解説】
正解の理由
算出されたリスク値を「与えられた基準」と比較して、そのリスクが許容できるか、対処が必要かを判断するプロセスは、リスク評価です。したがって選択肢の中では ウ が正解です。
ポイントを簡単に言うと:
- リスク分析(エ)はリスクの発生確率や影響を数値化・把握する段階です。
- リスク評価(ウ)はその数値化された結果を基準(例えば閾値や組織の許容度)と比べて「重大かどうか」を決めます。
- リスク対応(ア)は評価の結果に基づいて行う対策の設計・実行です。
- リスクの特定(イ)はまずリスクを洗い出す段階です。
解法ステップ
- 問題文のキーワードを探す:「算定されたリスクを与えられた基準と比較する」→「比較」「基準」に注目。
- 各選択肢の意味を思い出す(以下で簡単説明)。
- 「比較して判断する」役割がどれかを当てはめる:それが「評価」であると判断する。
- 残りの選択肢がどの段階(特定・分析・対応)を表すかで確信を持つ。
選択肢別の誤答解説
- ア: リスク対応
- 誤り。リスク対応は、評価の結果(重大と判断された場合)に対して行う具体的な対策(回避、低減、受容、移転など)を決めて実行する段階です。
- イ: リスクの特定
- 誤り。これはまずどんなリスクがあるかを洗い出す作業です。問題文の「比較」や「基準」とは異なります。
- ウ: リスク評価
- 正解。リスクを定量・定性で算定した後、その値を事前に定めた基準(許容範囲、閾値、リスク許容度=リスクアペタイト)と比較して重大さを判断するプロセスです。
- エ: リスク分析
- 誤り。リスク分析は発生確率や影響の程度を分析・算定する工程です。算定までは分析で行い、算定後の「比較・判断」が評価です。
よくある誤解
- 「リスク分析」と「リスク評価」は同じものと考える誤解
- 分析は“値を出す”作業、評価は“その値を基準と比べて判断する”作業で別工程です。
- 「リスクの特定=評価」と混同する誤解
- 洗い出すだけでは重大さは分かりません。評価が必要です。
- 「リスク対応が評価のこと」と思う誤解
- 対応は評価の結果に基づくアクションで、評価より後の工程です。
補足コラム
- 用語整理(初心者向け)
- リスクマネジメント:危険(リスク)を見つけて、評価し、対応する一連の流れです。
- リスクアセスメント(risk assessment):リスクの特定、分析、評価を合わせた流れを指す場合が多い言葉です。
- リスクアペタイト(risk appetite):組織が容認できるリスクの大きさ(英語の意味:許容する食欲のイメージ)。
- 視覚的な簡単な例
- リスクスコア = 発生確率 × 影響度 として数値化することがある。
- 例えば、発生確率 = 3(中)・影響度 = 4(大)なら
- 「基準(閾値)」を 10 に設定している組織なら、12 は基準を上回るため「重大」と評価され、対応が必要になります。
- 標準・参考
- リスクマネジメントの国際標準には ISO(International Organization for Standardization:国際標準化機構)31000 や、情報セキュリティ向けに ISO/IEC 27005(ISO と IEC は国際標準化機関)などがあります。これらでも「分析」と「評価」を区別しています。
FAQ
Q1: 「リスク評価」と「リスクアセスメント」は同じですか?
A1: 完全に同じではありません。リスクアセスメントは一般に「特定→分析→評価」の一連を指すことが多く、リスク評価はその中の「比較して判断する」工程です。
A1: 完全に同じではありません。リスクアセスメントは一般に「特定→分析→評価」の一連を指すことが多く、リスク評価はその中の「比較して判断する」工程です。
Q2: リスクを数値化できない場合はどうする?
A2: 定性的にランク(高・中・低)で評価する方法があります。重要なのは基準を明確にして比較することです。
A2: 定性的にランク(高・中・低)で評価する方法があります。重要なのは基準を明確にして比較することです。
Q3: 「基準」は誰が決める?
A3: 組織の経営層や情報セキュリティ担当が、リスク許容度(どれだけのリスクを受け入れるか)を踏まえて決めます。
A3: 組織の経営層や情報セキュリティ担当が、リスク許容度(どれだけのリスクを受け入れるか)を踏まえて決めます。
関連キーワード: リスクマネジメント、リスク評価、リスク分析、リスク対応、リスクアセスメント、ISO27005

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

