ITパスポート 2018年 秋期 問68
問題文
情報セキュリティにおけるリスクアセスメントの説明として、適切なものはどれか。
選択肢
ア:PCやサーバに侵入したウイルスを、感染拡大のリスクを抑えながら駆除する。
イ:識別された資産に対するリスクを分析、評価し、基準に照らして対応が必要かどうかを判断する。(正解)
ウ:事前に登録された情報を使って、システムの利用者が本人であることを確認する。
エ:情報システムの導入に際し、費用対効果を算出する。
🔒 解説は解答すると表示されます
情報セキュリティにおけるリスクアセスメントの説明はどれか【ITパスポート 解説】
正解の理由
選択肢の中で、情報資産(守るべきデータやシステム、機器など)に対するリスクを「分析・評価」し、「基準に照らして対応が必要かどうかを判断する」活動を示しているのが イ です。
リスクアセスメントとは、資産に対する脅威(攻撃や事故など起こりうる悪い事象)と脆弱性(弱点)を調べ、発生確率と影響度を見積もってリスクの大きさを評価し、事前に決めた基準(許容できるリスクかどうか)で対応の要否を判断する一連の手順です。したがって「分析・評価して対応の要否を判断する」という表現が最も適切です。
リスクアセスメントとは、資産に対する脅威(攻撃や事故など起こりうる悪い事象)と脆弱性(弱点)を調べ、発生確率と影響度を見積もってリスクの大きさを評価し、事前に決めた基準(許容できるリスクかどうか)で対応の要否を判断する一連の手順です。したがって「分析・評価して対応の要否を判断する」という表現が最も適切です。
(用語補足)
- 資産:守るべき情報やシステム、機器、人など
- 脅威:資産に悪影響を与える可能性のある出来事(例:ウイルス、自然災害、人為的ミス)
- 脆弱性(ぜいじゃくせい):攻撃や事故を許してしまう弱点
解法ステップ
- 問題文のキーワードを探す:「リスクアセスメント」「分析」「評価」「基準に照らして対応を判断」などを注目。
- 設問の定義を頭に入れる:リスクアセスメントは「リスクを見つけ→評価し→対応の要否を決める」活動。
- 選択肢を一つずつ当てはめる:
- その活動が「感染対策」「本人確認」「費用対効果算出」ならリスクアセスメントではないと除外。
- 最も定義に合う選択肢が イ であると決定する。
短く言うと、「分析・評価して判断する」という文言がある選択肢を選べばOKです。
選択肢別の誤答解説
- ア: 「PCやサーバに侵入したウイルスを、感染拡大のリスクを抑えながら駆除する。」
→ これはインシデント対応やウイルス駆除(事後対応・フォレンジックやマルウェア除去)の説明であり、リスクアセスメント(事前にリスクを評価して対策を決める活動)とは別物です。 - ウ: 「事前に登録された情報を使って、システムの利用者が本人であることを確認する。」
→ これは認証(authentication:利用者が本人であることを確認する仕組み)の説明です。ログインやパスワード、二要素認証などに関する内容で、リスク評価の説明ではありません。 - エ: 「情報システムの導入に際し、費用対効果を算出する。」
→ これは費用対効果分析や投資評価(ROIなど)に関する説明で、リスクの分析・評価・判断というリスクアセスメントの役割とは異なります。
よくある誤解
- リスクアセスメント = 対策を実行すること
- 実際は「評価して対応の必要性を決める」段階で、対応(対策の実施)はリスクマネジメント(管理)の次のステップです。
- 定量的な数値計算だけがリスク評価だと思う
- 数値で表す定量評価もありますが、専門用語でない場面では「高/中/低」の定性評価(定性的評価)で十分なことも多いです。
- 技術的な項目だけを評価すればよい
- ビジネス影響(業務停止による売上喪失や信用失墜)も重要な評価対象です。IT以外の観点も含めて評価します。
補足コラム
- 基本的な流れ(リスクアセスメントの代表的ステップ)
- 資産の特定(何を守るか)
- 脅威と脆弱性の特定(何が起こり得るか・弱点はどこか)
- 発生確率と影響度の評価(どれくらいの確率で、どれほどの被害か)
- リスクの算出や格付け(例:)
- 基準に照らして対応の要否を判断(受容・低減・移転・回避など)
- リスク扱いの例(対応の種類)
- 軽減(mitigate):対策でリスクを下げる(パッチ適用、アクセス制御など)
- 移転(transfer):保険や外部委託でリスクを移す
- 受容(accept):対応コストに見合わない場合はリスクを受け入れる
- 回避(avoid):リスクを生む行為をやめる
- 出力物としては「リスクレジスター(リスク一覧表)」がよく作られます。関係者と合意した基準で優先順位を付け、対策を計画します。
- 関連する国際標準:ISO(International Organization for Standardization:国際標準化機構)の情報セキュリティ管理に関する規格(例:ISO/IEC 27005)にはリスクアセスメントの考え方が示されています。
FAQ
Q1: リスクアセスメントは誰が行えばよいですか?
A1: セキュリティ担当者や情報システム部が主導しますが、業務担当者(現場)の意見が必須です。業務影響を把握するために現場の参加が重要です。
A1: セキュリティ担当者や情報システム部が主導しますが、業務担当者(現場)の意見が必須です。業務影響を把握するために現場の参加が重要です。
Q2: どのくらいの頻度で実施すればよいですか?
A2: 定期的には年1回程度が目安ですが、システム変更や新しい脅威の発生、重大インシデント後には都度実施します。
A2: 定期的には年1回程度が目安ですが、システム変更や新しい脅威の発生、重大インシデント後には都度実施します。
Q3: 定量評価と定性評価の違いは何ですか?
A3: 定量評価は金額や発生率など数値で評価する手法、定性評価は「高・中・低」などの言葉で評価する手法です。状況やデータの有無で使い分けます。
A3: 定量評価は金額や発生率など数値で評価する手法、定性評価は「高・中・低」などの言葉で評価する手法です。状況やデータの有無で使い分けます。
Q4: リスクがゼロになることはありますか?
A4: 現実的にはゼロはほとんどありません。コストや運用性を考えて「許容できるレベル」に下げることが目標です。
A4: 現実的にはゼロはほとんどありません。コストや運用性を考えて「許容できるレベル」に下げることが目標です。
関連キーワード: リスクアセスメント、リスクマネジメント、資産、脅威、脆弱性、リスク評価、定量評価、定性評価、リスクレジスター、インシデント対応

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

