ホーム > 情報処理安全確保支援士試験 > 2009年 春期
情報処理安全確保支援士試験 2009年 春期 午前2 問08
情報システムのリスク分析に関する記述のうち,適切なものはどれか。
ア:リスクには,投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは、投機的リスクである。
イ:リスクの予想損失額は,損害予防のために投入されるコスト,復旧に要するコスト,及びほかの手段で業務を継続するための代替コストの合計で表される。
ウ:リスク分析では、現実に発生すれば損失をもたらすリスクが,情報システムのどこに,どのように潜在しているかを識別し,その影響の大きさを測定する。(正解)
エ:リスクを金額で測定するリスク評価額は、損害が現実のものになった場合の1回当たりの平均予想損失額で表される。
解説
情報システムのリスク分析に関する記述のうち,適切なものはどれか。【午前2 解説】
要点まとめ
- 結論:リスク分析は、情報システムに潜む損失リスクの所在と影響を特定し評価することが目的です。
- 根拠:リスク分析は、発生可能な損失の原因や影響範囲を明確にし、対策の優先順位を決めるために行います。
- 差がつくポイント:投機的リスクと純粋リスクの区別や、リスク評価額の定義を正確に理解しているかが重要です。
正解の理由
選択肢ウは、リスク分析の本質を正しく表現しています。リスク分析とは、情報システムに潜在するリスクを識別し、その影響度を測定するプロセスです。これにより、どこにどのようなリスクが存在するかを把握し、適切な対策を検討できます。情報セキュリティのリスク分析は、損失をもたらす可能性のあるリスクに焦点を当てるため、ウの説明が最も適切です。
よくある誤解
リスク分析で対象とするのは「投機的リスク」ではなく「純粋リスク」です。また、リスク評価額は単なる平均損失額ではなく、損害の発生確率や影響度を考慮した評価が必要です。
解法ステップ
- リスクの種類(投機的リスクと純粋リスク)を理解する。
- 情報セキュリティで扱うリスクは純粋リスクであることを確認する。
- リスク分析の目的はリスクの識別と影響度の測定であることを押さえる。
- 各選択肢の記述がリスク分析の定義や目的に合致しているかを比較する。
- 最も正確にリスク分析を説明している選択肢を選ぶ。
選択肢別の誤答解説
- ア:投機的リスクは利益も損失もあり得るリスクであり、情報セキュリティのリスク分析では純粋リスク(損失のみ)が対象です。
- イ:予想損失額は損害の発生確率と損害額の積で表され、損害予防コストや復旧コストはリスク対応策のコストであり、合計ではありません。
- ウ:リスク分析の目的と手順を正しく説明しており、適切な記述です。
- エ:リスク評価額は平均損失額だけでなく、発生確率も考慮した期待損失額で表されるため、単なる1回当たりの平均損失額とは異なります。
補足コラム
リスク分析はリスクマネジメントの初期段階であり、リスクの識別、評価、対応策の検討へと進みます。純粋リスクは損失のみを伴うリスクで、情報セキュリティでは主にこのリスクを扱います。投機的リスクは金融や投資の分野で利益や損失の両方があり得るリスクを指します。
FAQ
Q: 投機的リスクと純粋リスクの違いは何ですか?
A: 投機的リスクは利益も損失も発生する可能性があるリスクで、純粋リスクは損失のみが発生するリスクです。情報セキュリティでは純粋リスクを対象とします。
A: 投機的リスクは利益も損失も発生する可能性があるリスクで、純粋リスクは損失のみが発生するリスクです。情報セキュリティでは純粋リスクを対象とします。
Q: リスク評価額はどのように計算されますか?
A: リスク評価額は、リスクの発生確率と発生時の損失額の期待値(期待損失額)で表されます。
A: リスク評価額は、リスクの発生確率と発生時の損失額の期待値(期待損失額)で表されます。
Q: リスク分析とリスク評価の違いは何ですか?
A: リスク分析はリスクの識別と影響度の測定を行い、リスク評価は分析結果を基にリスクの重要度を判断し優先順位を決めるプロセスです。
A: リスク分析はリスクの識別と影響度の測定を行い、リスク評価は分析結果を基にリスクの重要度を判断し優先順位を決めるプロセスです。
関連キーワード: リスク分析, 純粋リスク, 投機的リスク, リスク評価額, 情報セキュリティ, リスクマネジメント