※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「A. 受容基準と比較できるように、各リスクのレベルを決定する必要がある。」です。
リスク分析は、特定したリスクの影響度や発生確率を評価し、受容基準と照らし合わせることで優先度を決定するプロセスです。
この記事では、ITパスポート試験(令和4年度)で出題された過去問の第32問「リスクアセスメントのリスク分析」について、試験対策の観点からわかりやすく解説します。
Contents
リスクアセスメントの三つのプロセス
リスクアセスメント=リスク特定 → リスク分析 → リスク評価
1. リスク特定:情報資産に対する脅威や脆弱性を洗い出す
2. リスク分析:特定したリスクの発生確率や影響度を評価し、リスクレベルを決定
3. リスク評価:分析結果を受容基準と比較して、リスクの対応方針(受容・回避・軽減など)を決定
リスク分析のポイント
- 各リスクの影響度や発生確率を定量的または定性的に評価する
- リスクレベルは受容基準と比較できるように決定する
- 分析技法はリスクごとに最適な方法を選択できる
リスク分析は、あくまでリスクの大きさや優先度を明確化するプロセスであり、受容可能かの判断はリスク評価の段階で行います。
他の選択肢との違い
- 「全ての情報資産を分析対象にする必要がある」:重要な情報資産を優先するのが現実的
- 「同じ分析技法を用いる必要がある」:リスクに応じて適切な技法を使い分ける
- 「リスクが受容可能かどうかを決定する」:これはリスク評価の役割であり、分析段階では行わない
問われているポイント
この問題では、リスク分析の目的と役割を正しく理解しているかが問われています。
特にリスクレベルを明確化し、受容基準と比較できる状態にすることが重要です。
気を付けてほしい点(勘違いしやすいポイント)
- リスク分析=リスクの大きさを評価するプロセス
- リスク評価=受容可能かどうかを判断するプロセス
- 分析対象や技法は柔軟に選択可能
補足
ITパスポート試験では、リスク特定・分析・評価の順序と役割を整理して覚えておくと解答しやすくなります。
ITパスポート試験での出題パターン
テクノロジ系では、情報セキュリティマネジメントの基礎として、リスクアセスメントの各プロセスの役割を問う問題が定番です。
特にリスク分析とリスク評価の違いを押さえておきましょう。
この知識が使われている問題
まとめ
- リスク分析はリスクの発生確率・影響度を評価し、リスクレベルを決定するプロセス
- リスクレベルは受容基準と比較できる状態にする
- リスクの受容判断はリスク評価の段階で行う