ITパスポート過去問 令和3年度(2021年)問91
次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
- a 脅威や脆弱性(ぜいじゃくせい)などを使って,リスクレベルを決定する。
- b リスクとなる要因を特定する。
- c リスクに対してどのように対応するかを決定する。
- d リスクについて対応する優先順位を決定する。
選択肢
- ア:a,b
- イ:a,b,d
- ウ:a,c,d
- エ:c,d
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
リスクアセスメントは、リスクを特定し、脅威や脆弱性などを基にリスクレベルを分析・評価し、対応の優先順位まで決める活動です。一方、具体的にどのように対応するかを決める作業はリスク対応であり、リスクアセスメントには含まれません。
Point
リスクマネジメントの中で、リスクアセスメントに含まれる範囲(リスク特定、リスク分析、リスク評価)と、リスク対応(対策の決定)を区別できるかを確認することが目的です。
解くために必要な知識
この問題を解くには、リスクアセスメントが何をする工程かを理解している必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| リスクマネジメント | 組織に影響を与えるリスクを扱うために、リスクを把握して評価し、必要な対策を選び、管理していく一連の活動です。 |
| リスクアセスメント |
リスクを評価するための一連のプロセスで、一般に次の3つで構成されます。
|
| リスク特定 | 脅威や脆弱性などを洗い出し、どのようなリスクがあるかを見つける作業です。 |
| リスク分析 | 特定したリスクについて、発生可能性や影響度などからリスクの大きさを見積もる作業です。 |
| リスク評価 | 分析結果を基準と比較し、対応の要否や優先順位を決める作業です。 |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| リスク対応 | リスクアセスメントの結果を受けて、リスクへの対応方針(回避、低減、移転、保有など)を決め、必要に応じて実行する作業です。 |
問題の解法手順
選択肢を構成する要素の整理
各作業が指す内容を、リスクマネジメントの工程に当てはめます
| 作業 | 内容 | 該当するプロセス | リスクアセスメントに含まれるか |
|---|---|---|---|
| a | 脅威や脆弱性などを使って、リスクレベルを決定する | リスク分析 | はい |
| b | リスクとなる要因を特定する | リスク特定 | はい |
| c | リスクに対してどのように対応するかを決定する | リスク対応 | いいえ |
| d | リスクについて対応する優先順位を決定する | リスク評価 | はい |
リスクアセスメントに含まれる作業を選びます
リスクアセスメントに含まれるのは a、b、d です。よって、正解は「イ」です。
選択肢ごとの解説
- ア:不正解
aとbはリスクアセスメントに含まれますが、dもリスク評価としてリスクアセスメントに含まれます。dが入っていないため誤りです。
- イ:正解
bはリスク特定、aはリスク分析やリスク評価、dはリスク評価に当たります。リスクアセスメント(特定・分析・評価)に含まれるものだけがそろっているため正解です。
- ウ:不正解
cはリスクへの対応方針を決める作業であり、リスクアセスメントではなくリスク対応に当たります。そのため誤りです。
- エ:不正解
cはリスク対応でありリスクアセスメントではありません。dはリスク評価でリスクアセスメントに含まれますが、cが入っているため誤りです。
まとめ
リスクアセスメントは、リスクを特定し、脅威や脆弱性などを基にリスクレベルを分析・評価し、対応の優先順位まで決める活動です。一方、具体的にどのように対応するかを決める作業はリスク対応であり、リスクアセスメントには含まれません。
テクノロジ系 > 技術要素 > セキュリティ
aとbはリスクアセスメントに含まれますが、dもリスク評価としてリスクアセスメントに含まれます。dが入っていないため誤りです。
bはリスク特定、aはリスク分析やリスク評価、dはリスク評価に当たります。リスクアセスメント(特定・分析・評価)に含まれるものだけがそろっているため正解です。
cはリスクへの対応方針を決める作業であり、リスクアセスメントではなくリスク対応に当たります。そのため誤りです。
cはリスク対応でありリスクアセスメントではありません。dはリスク評価でリスクアセスメントに含まれますが、cが入っているため誤りです。