平成25年度 秋期 ITパスポート試験 問56 解説 リスクマネジメントのプロセス

リスクマネジメントの流れを理解する

リスクマネジメントのプロセスは、まず何がリスクなのかを見つけ出し、それがどれくらいの脅威かを測り、どう対処するかを決めるという論理的な手順を踏みます。この順番は「特定」→「分析」→「評価」→「対応」の順で固定されていると覚えましょう。

リスクマネジメントの4つのプロセス

リスクマネジメントは、組織の目標達成を阻害する不確実な事象に対し、体系的に管理を行う活動です。各プロセスには明確な役割があります。

1. リスク特定 組織が直面する可能性のあるリスクを洗い出します。何が起きるか分からない状態では対策のしようがないため、まずは「どのような脅威があるのか」を網羅的にリストアップする作業が必要です。

2. リスク分析 特定したリスクが、どの程度の確率で発生し、もし発生したらどれくらいの影響があるのかを見積もります。ここでは客観的なデータや経験に基づき、定量的または定性的にリスクの大きさを算出します。

3. リスク評価 分析結果を基に、そのリスクを許容できるか、あるいは優先的に対策すべきかを判断します。分析で出したリスクの大きさを、組織の許容範囲と比較して優先順位を決めるプロセスです。

4. リスク対応 評価結果に従い、リスクをどのように処理するかを決定し実行します。具体的には、リスクを避ける（回避）、影響を減らす（低減）、保険などで他社に移す（移転）、あえて受け入れる（保有）といった選択肢から、最適な対応策を選びます。

順序を組み立てる思考プロセス

この問題を解くコツは、日常的な問題解決のステップと照らし合わせることです。「何が問題かを見つける」→「問題の程度を調べる」→「どれから対処するか優先順位をつける」→「具体的な行動に移る」という流れは、IT現場だけでなく、ビジネス全般の意思決定プロセスと共通しています。

選択肢を検討する際、「いきなり対策（対応）はできない」と考えれば、選択肢がかなり絞られます。また、分析と評価は似ていますが、「分析（事実の測定）」があって初めて「評価（優先順位付け）」が可能になるという依存関係を意識しましょう。

実務現場におけるリスクの捉え方

この知識は、システム開発のプロジェクト計画書を作成する際や、日々のセキュリティ対策の現場で不可欠です。例えば、社内のPCにウイルス感染のリスクがある場合、単に「ウイルス対策ソフトを入れる」と決める（対応）だけでは不十分です。

「脆弱なポートはないか（特定）」を調べ、「攻撃を受けた際の被害規模（分析）」を測定し、「今のセキュリティ体制で防げるのか（評価）」を判断した上で、「EDRを導入するのか、ネットワークを分離するのか（対応）」を決定するという手順を経ることで、コストパフォーマンスの高い現実的なセキュリティ対策が可能になります。試験対策を超えて、論理的にリスクを扱うための基礎体力となる知識です。

参考リンク

• 情報セキュリティマネジメントにおけるリスクマネジメントとは？(ITパスポート試験対策)
• リスクマネジメントを遊び心で実践！ボードゲームの攻略に活かすリスク分析の思考法
• JIS Q 31000 リスクマネジメント－指針