ITパスポート過去問 令和4年度(2022年)問86
情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。
選択肢
- ア:受容基準と比較できるように,各リスクのレベルを決定する必要がある。
- イ:全ての情報資産を分析の対象にする必要がある。
- ウ:特定した全てのリスクについて,同じ分析技法を用いる必要がある。
- エ:リスクが受容可能かどうかを決定する必要がある。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
リスク分析は、リスク特定で洗い出したリスクについて、発生確率や影響度などを基にリスクの大きさ(リスクレベル)を決める工程です。ここで決めたリスクレベルは、次の工程であるリスク評価で受容基準と比較するために使われます。
Point
この問題は、リスクアセスメントの各工程の役割の違いを区別できるかを確認しています。特に、リスク分析はリスクレベルを決定する工程であり、受容可否の判断はリスク評価で行う点を理解することが目的です。
解くために必要な知識
この問題を解くには、リスクアセスメントを構成するリスク特定、リスク分析、リスク評価の役割の違いを理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| リスクアセスメント | リスク特定、リスク分析、リスク評価を行い、リスクの大きさや扱いを判断する一連のプロセスです。 |
| リスク特定 | 対象範囲の中で、どのようなリスクがあるかを洗い出すプロセスです。 |
| リスク分析 | 特定したリスクについて、発生確率や影響度などを基にリスクレベルを決めるプロセスです。 |
| リスク評価 | リスク分析で決めたリスクレベルを受容基準と比較し、リスクが受容可能か、対策が必要かなどを判断するプロセスです。 |
| リスクレベル | リスクの大きさを表す尺度です。代表例として、リスクレベル = 発生確率 × 影響度、のように考えます。 |
| 受容基準 | 組織として、どの程度までのリスクなら受け入れるかを示す基準です。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| 情報資産 | 組織が保有する、保護対象となる情報や、それを扱うための資源(例:データ、システム、媒体など)です。 |
問題の解法手順
各工程で行うこと
| 工程 | 目的 | 主な作業 |
|---|---|---|
| リスク特定 | リスクを洗い出す | 情報資産、脅威、脆弱性などからリスクを列挙します。 |
| リスク分析 | リスクレベルを決める | 発生可能性と影響度などを分析し、リスクの大きさ(リスクレベル)を決定します。 |
| リスク評価 | 受容可否などを判断する | リスクレベルを受容基準と比較し、受容するか、対応が必要か、優先順位はどうするかを判断します。 |
選択肢を工程に対応付ける
「ア」の確認
リスク分析で行うのは、受容基準と比較できるように各リスクのレベルを決定することです。
「エ」との違いを確認
受容可能かどうかの決定は、受容基準との比較を行うリスク評価の作業です。
選択肢ごとの解説
- ア:正解
リスク分析では、特定したリスクについて発生確率や影響度などを基にリスクレベルを決めます。決めたリスクレベルは、次のリスク評価で受容基準と比較するために使います。
- イ:不正解
リスク分析の対象は、一般にリスクアセスメントの適用範囲として定めた範囲の情報資産などです。組織の全ての情報資産を必ず対象にする、とは限りません。
- ウ:不正解
リスク分析の手法は、定性的、定量的などがあり、リスクの性質や利用可能なデータに応じて使い分けます。特定した全てのリスクで同じ分析技法を必ず使う、とは限りません。
- エ:不正解
リスクが受容可能かどうかを決めるのは、受容基準と比較して判断するリスク評価の作業です。リスク分析は、その前段としてリスクレベルを決めます。
まとめ
リスク分析は、リスク特定で洗い出したリスクについて、発生確率や影響度などを基にリスクの大きさ(リスクレベル)を決める工程です。ここで決めたリスクレベルは、次の工程であるリスク評価で受容基準と比較するために使われます。
テクノロジ系 > 技術要素 > セキュリティ
リスク分析では、特定したリスクについて発生確率や影響度などを基にリスクレベルを決めます。決めたリスクレベルは、次のリスク評価で受容基準と比較するために使います。
リスク分析の対象は、一般にリスクアセスメントの適用範囲として定めた範囲の情報資産などです。組織の全ての情報資産を必ず対象にする、とは限りません。
リスク分析の手法は、定性的、定量的などがあり、リスクの性質や利用可能なデータに応じて使い分けます。特定した全てのリスクで同じ分析技法を必ず使う、とは限りません。
リスクが受容可能かどうかを決めるのは、受容基準と比較して判断するリスク評価の作業です。リスク分析は、その前段としてリスクレベルを決めます。