戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2018年 秋期 99


問題文

ISMSにおける情報セキュリティリスクアセスメントでは、リスクの特定、分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
a あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。 b 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。 c リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。

選択肢

a(正解)
a, b
b
c

🔒 解説は解答すると表示されます

ISMSのリスクアセスメントで「リスクの評価」が行うことはどれか【ITパスポート 解説】

正解の理由

ISMS(情報セキュリティマネジメントシステム:情報を安全に管理する仕組み)でのリスクアセスメント(リスクの特定・分析・評価をする作業)のうち、リスクの「評価」は、分析で求めたリスクの大きさを、あらかじめ定めた基準と照らし合わせてその重要度や取り扱いの優先順位を決める工程です。したがって、分析したリスクの優先順位付けを行う記述である選択肢 a を含む組み合わせ、すなわち選択肢 が正解になります。
(補足)ここで言う「基準」は、リスクをどの程度許容できるかなどを示す尺度であり、それに基づいて「どのリスクから対応するか」を決めます。

解法ステップ

  1. 問題文のキーワードを確認:今回は「リスクの評価」で行うもの、という点に注目。
  2. リスクアセスメントの3工程を頭に入れる:
    • リスクの特定(洗い出し) → どんなリスクがあるかを見つける
    • リスクの分析 → 発生可能性や影響を見積もる
    • リスクの評価 → 分析結果を基準と比較して優先順位を付ける
  3. 各選択肢がどの工程に当たるか対応付ける:
    • 「洗い出す」は特定、「優先順位付け」は評価、「対応を実施するかの基準を定める」は評価ではなく別工程(リスク対応や受容に関わる)と判断する。
  4. 評価で行うものだけを含む選択肢を選ぶ。

選択肢別の誤答解説

  • (a)
    • a:「あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。」
      → これはまさに「リスクの評価」の仕事です。分析で出たリスクの大きさを基準と比べて優先順位を決めます。正解を含む選択肢です。
  • イ(a, b)
    • b:「保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。」
      → これは「リスクの特定(識別)」に該当します。評価の段階ではなく、前段階の工程なので「評価で行うものだけ」には当たりません。したがってイは誤りです。
  • ウ(b)
    • bは上記の通り「特定」。ウは b のみなので「評価で行うこと」が含まれておらず誤りです。
  • エ(c)
    • c:「リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。」
      → これはリスク対応(リスクが実際に発生したときの対応方針)や受容基準の設定に近い内容です。評価で「分析結果を比較して優先順位を付ける」こととは異なります。よってエは誤りです。

よくある誤解

  1. 「基準を定める=評価」だと思い込みがち
    • 「基準を定める」行為自体はリスクマネジメントの文脈で評価に関係しますが、問題文の c は「リスクが顕在化したときに対応するかを判断するための基準」を指しており、評価(リスクを比較・優先付けする)とは目的が異なります。前者は対応方針(リスク対応)寄りです。
  2. 「洗い出す」=評価に含めてしまう誤り
    • リスクの特定(洗い出し)は評価の前段階。評価は洗い出しと分析の結果を用いて行う工程です。

補足コラム

  • ISO(国際標準)系の文献では、リスク評価は「分析したリスクをリスク基準に照らしてリスクの重要性を判断し、優先順位を付ける」作業と定義されています。評価の結果は「リスク登録簿(リスクレジスター)」などに記録され、リスク対応(対策実施や受容の判断)へ引き継がれます。
  • 簡単なイメージ式:
    • リスクの大きさ(評価指標) = 発生可能性 × 影響
      • 数式で表すと (簡易モデル)。これを基準と比較して「高リスクか低リスクか」「どれを先に対応するか」を決めるのが評価です。

FAQ

Q1. リスク評価で「基準を作る」ことは全く関係ないですか?
A1. 完全に無関係ではありません。評価は「既に定めた基準」に基づいて行うため、基準自体は必要です。ただし、問題文の c のように「リスクが顕在化したときの対応実施基準」を定めることは、評価の直接的な作業ではなく、主にリスク対応や受容方針に関わる内容です。
Q2. 「優先順位を付ける」=「すぐ対策を始める」なので同じでは?
A2. 優先順位付けは「どのリスクから検討・対策を始めるべきか」を決める判断です。実際に対策を実施するかどうか、どの対策を採るかはリスク対応(risk treatment)の工程で決めます。

関連キーワード: ISMS、リスクアセスメント、リスク評価、リスク分析、リスク特定、リスク優先順位、リスク基準、ISO/IEC 27001、リスク登録、リスク対応
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について