ITパスポート 2017年 秋期 問57
問題文
ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”には、リスク対応、リスク評価、リスク分析が含まれる。この活動の流れとして、適切なものはどれか。
選択肢
ア:リスク対応 → リスク評価 → リスク分析
イ:リスク評価 → リスク分析 → リスク対応
ウ:リスク分析 → リスク対応 → リスク評価
エ:リスク分析 → リスク評価 → リスク対応(正解)
🔒 解説は解答すると表示されます
ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”の流れ【ITパスポート 解説】
正解の理由
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織が情報の安全を保つための仕組みです。問題では「リスク及び機会に対処する活動」として、リスク分析・リスク評価・リスク対応(リスク処理)が挙げられています。順序としては、まず「何が問題になりうるか」を明らかにする(リスク分析)、次にそのリスクがどれほど重要かを判断する(リスク評価)、最後に重要なものに対して対処手段を決めて実行する(リスク対応)が自然な流れです。したがって正しい選択肢は エ(リスク分析 → リスク評価 → リスク対応)です。
それぞれの役割を一言で整理すると:
- リスク分析(リスク分析):リスクの原因・発生確率・影響を具体的に調べる段階
- リスク評価(リスク評価):分析結果を基に「許容できるか/優先的に対処すべきか」を判断する段階
- リスク対応(リスク対応):受容・回避・軽減・移転などの対策を選び実行する段階
この「調べる → 判断する → 対策する」の流れが、エが正解である理由です。
解法ステップ
- 用語を確認する
- リスク分析、リスク評価、リスク対応の意味を一言で押さえます(上記参照)。
- 順序の論理を考える
- 「対処(対応)」する前に、まず何が起きるかを調べ(分析)、重要度を判断(評価)する必要がある、と考えます。
- 各選択肢と照らし合わせる
- 「分析→評価→対応」の順になっている選択肢を選びます(エ)。
試験では、用語の意味と因果関係(原因→判断→対応)を意識すれば迷いません。
選択肢別の誤答解説
-
ア: リスク対応 → リスク評価 → リスク分析
- 誤り。対策(対応)を先に行うことは現実的ではありません。原因や重要度を調べずに対応を選ぶと、無駄な対策や不足する対策が発生します。
-
イ: リスク評価 → リスク分析 → リスク対応
- 誤り。評価(優先度付け)をするには、まず分析(発生確率や影響の見積もり)が要ります。分析なしに評価はできません。
-
ウ: リスク分析 → リスク対応 → リスク評価
- 誤り。分析の後すぐに対応するのは一見合理的ですが、対応の前に「本当にそのリスクを処理する必要があるか(受容できるかどうか)」を評価するべきです。評価を飛ばすと過剰対策や優先度の誤りが起きます。
-
エ: リスク分析 → リスク評価 → リスク対応
- 正解。まず分析して事実を把握し、その重要度を評価して優先順位を決めてから対応(対策選択と実施)します。
よくある誤解
-
「リスク評価」と「リスク分析」は同じだと思う
- 似ていますが役割が違います。分析は事実の把握(発生確率や影響の見積もり)、評価はその結果に基づく判断(許容できるか、優先度)です。順序が逆になると実務で混乱します。
-
「対応=すぐ対策を実行する」と考える
- 対応には「受容(そのままにする)」や「移転(保険など)」など選択肢があり、必ずしもすぐに技術的な対策を導入することではありません。評価で決めてから実施します。
補足コラム
- ISOの用語だと、一般に「リスクアセスメント(risk assessment)」はリスクの同定(identification)、分析(analysis)、評価(evaluation)を含むプロセスです。今回の設問はその中の「分析」「評価」「対応(treatment)」の並びを問うものです。
- 実務ではこのサイクルは一度きりではありません。新たな脅威や環境変化に応じて、PDCA(Plan-Do-Check-Act)のように継続的に回すことが重要です。PDCAは計画・実行・確認・改善の流れです。
身近な例:会社の顧客データを扱うとします。
- 分析:どのデータが漏えいすると問題か(顧客情報、取引履歴など)、どのくらいの確率で起きるかを調べる。
- 評価:漏えいの影響が大きく、発生確率も無視できないため優先度が高いと判断する。
- 対応:暗号化やアクセス制御の強化、外部委託先への契約上の義務化(移転)など適切な対策を選んで実行する。
FAQ
Q1. リスク分析とリスク評価の具体的な違いをもう少し教えてください。
A1. 簡単に言うと「分析=量を測る」「評価=その量で良いか悪いか決める」です。分析で「発生確率20%、影響は金銭で1000万円相当」と見積もったら、評価で「受容できるか」「優先的に対策を行うか」を判断します。
A1. 簡単に言うと「分析=量を測る」「評価=その量で良いか悪いか決める」です。分析で「発生確率20%、影響は金銭で1000万円相当」と見積もったら、評価で「受容できるか」「優先的に対策を行うか」を判断します。
Q2. リスク対応にはどんな方法がありますか?
A2. 主に4つです:受容(そのままにする)、回避(危険な行為をやめる)、軽減(対策で影響や確率を下げる)、移転(保険や外部委託で負担を移す)。
A2. 主に4つです:受容(そのままにする)、回避(危険な行為をやめる)、軽減(対策で影響や確率を下げる)、移転(保険や外部委託で負担を移す)。
Q3. 試験ではどの表現を覚えれば良いですか?
A3. 「分析→評価→対応(処理)」の順を覚えておけばOKです。各用語の役割(調べる・判断する・対処する)もセットで覚えると応用が利きます。
A3. 「分析→評価→対応(処理)」の順を覚えておけばOKです。各用語の役割(調べる・判断する・対処する)もセットで覚えると応用が利きます。
関連キーワード: ISMS、リスク分析、リスク評価、リスク対応、情報セキュリティ、ISO27001、リスクマネジメント、PDCA

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

