戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2014年 秋期 47


問題文

情報セキュリティのリスクマネジメントにおいて、リスクの重大さを決定するために、算定されたリスクを与えられた基準と比較するプロセスはどれか。

選択肢

リスク対応
リスクの特定
リスク評価(正解)
リスク分析

🔒 解説は解答すると表示されます

情報セキュリティのリスクマネジメントにおいて、リスクの重大さを決定するために、算定されたリスクを与えられた基準と比較するプロセスはどれか。【ITパスポート 解説】

正解の理由

算出されたリスク値を「与えられた基準」と比較して、そのリスクが許容できるか、対処が必要かを判断するプロセスは、リスク評価です。したがって選択肢の中では が正解です。
ポイントを簡単に言うと:
  • リスク分析(エ)はリスクの発生確率や影響を数値化・把握する段階です。
  • リスク評価(ウ)はその数値化された結果を基準(例えば閾値や組織の許容度)と比べて「重大かどうか」を決めます。
  • リスク対応(ア)は評価の結果に基づいて行う対策の設計・実行です。
  • リスクの特定(イ)はまずリスクを洗い出す段階です。

解法ステップ

  1. 問題文のキーワードを探す:「算定されたリスクを与えられた基準と比較する」→「比較」「基準」に注目。
  2. 各選択肢の意味を思い出す(以下で簡単説明)。
  3. 「比較して判断する」役割がどれかを当てはめる:それが「評価」であると判断する。
  4. 残りの選択肢がどの段階(特定・分析・対応)を表すかで確信を持つ。

選択肢別の誤答解説

  • ア: リスク対応
    • 誤り。リスク対応は、評価の結果(重大と判断された場合)に対して行う具体的な対策(回避、低減、受容、移転など)を決めて実行する段階です。
  • イ: リスクの特定
    • 誤り。これはまずどんなリスクがあるかを洗い出す作業です。問題文の「比較」や「基準」とは異なります。
  • : リスク評価
    • 正解。リスクを定量・定性で算定した後、その値を事前に定めた基準(許容範囲、閾値、リスク許容度=リスクアペタイト)と比較して重大さを判断するプロセスです。
  • エ: リスク分析
    • 誤り。リスク分析は発生確率や影響の程度を分析・算定する工程です。算定までは分析で行い、算定後の「比較・判断」が評価です。

よくある誤解

  1. 「リスク分析」と「リスク評価」は同じものと考える誤解
    • 分析は“値を出す”作業、評価は“その値を基準と比べて判断する”作業で別工程です。
  2. 「リスクの特定=評価」と混同する誤解
    • 洗い出すだけでは重大さは分かりません。評価が必要です。
  3. 「リスク対応が評価のこと」と思う誤解
    • 対応は評価の結果に基づくアクションで、評価より後の工程です。

補足コラム

  • 用語整理(初心者向け)
    • リスクマネジメント:危険(リスク)を見つけて、評価し、対応する一連の流れです。
    • リスクアセスメント(risk assessment):リスクの特定、分析、評価を合わせた流れを指す場合が多い言葉です。
    • リスクアペタイト(risk appetite):組織が容認できるリスクの大きさ(英語の意味:許容する食欲のイメージ)。
  • 視覚的な簡単な例
    • リスクスコア = 発生確率 × 影響度 として数値化することがある。
    • 例えば、発生確率 = 3(中)・影響度 = 4(大)なら
    • 「基準(閾値)」を 10 に設定している組織なら、12 は基準を上回るため「重大」と評価され、対応が必要になります。
  • 標準・参考
    • リスクマネジメントの国際標準には ISO(International Organization for Standardization:国際標準化機構)31000 や、情報セキュリティ向けに ISO/IEC 27005(ISO と IEC は国際標準化機関)などがあります。これらでも「分析」と「評価」を区別しています。

FAQ

Q1: 「リスク評価」と「リスクアセスメント」は同じですか?
A1: 完全に同じではありません。リスクアセスメントは一般に「特定→分析→評価」の一連を指すことが多く、リスク評価はその中の「比較して判断する」工程です。
Q2: リスクを数値化できない場合はどうする?
A2: 定性的にランク(高・中・低)で評価する方法があります。重要なのは基準を明確にして比較することです。
Q3: 「基準」は誰が決める?
A3: 組織の経営層や情報セキュリティ担当が、リスク許容度(どれだけのリスクを受け入れるか)を踏まえて決めます。

関連キーワード: リスクマネジメント、リスク評価、リスク分析、リスク対応、リスクアセスメント、ISO27005
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について