平成26年度 秋期 ITパスポート試験 公開問題 問47 解説 リスク評価のプロセス

リスクマネジメントのプロセスを見分ける

この問題は、リスクマネジメントのプロセスにおける各工程の定義を問うものです。正解を導く鍵は、設問文にある「算定されたリスク」を「基準と比較する」という言葉です。

算定されたリスクの「大きさ」そのものを計算するのが「リスク分析」であり、その結果を「許容できるか否か」という基準と照らし合わせて判断する工程が「リスク評価」です。

リスクマネジメントの3つのステップ

情報セキュリティのリスクマネジメントは、一般的に以下の順序で進められます。

1. リスク特定 資産に対する脅威や脆弱性を洗い出し、どのようなリスクが存在するかを特定する工程です。

2. リスク分析 特定されたリスクについて、その発生確率と影響度を算定し、リスクの大きさを決定する工程です。「もしこのリスクが起きたら、どれくらいの被害が出るか」を客観的な数値やレベルとして算出します。

3. リスク評価 分析によって得られたリスクの大きさを、組織が定めた「リスク基準」と比較する工程です。このリスクを許容して現状のままにするのか、あるいは何らかの対策を講じて低減させる必要があるのかを判断します。

選択肢にある「リスク対応」は、この評価の結果を受けて、実際にリスクを軽減、回避、移転、あるいは保有（受容）するための具体的なアクションを実行するプロセスを指します。

現場で求められるリスクへの姿勢

この知識は、単なる暗記ではなく、IT現場における「意思決定の基準」として重要です。現実世界では、すべてのリスクをゼロにすることはコスト面で不可能です。

例えば、社内システムのパスワードを非常に複雑にすると安全性は高まりますが、利用者の利便性は著しく低下します。リスク評価の段階では、「この程度の利便性低下であれば、セキュリティ向上とのバランスが取れている」という判断を、設定した基準に基づいて行います。

試験の問題作成者は、リスクマネジメントが「リスクを見つけて対策する」という単純な作業ではなく、「リスクを可視化し、組織の方針に基づいて取捨選択する」という、論理的なプロセスであることを理解しているかを問おうとしています。

参考リンク

• 情報セキュリティマネジメントシステム（ISMS）とは？プロセスやメリットを解説
• 【初心者向け】クラウド環境のセキュリティリスクをどう評価するか（Zenn）
• ISO/IEC 27005:2022 情報技術－セキュリティ技術－情報セキュリティリスクマネジメント（JIS規格等の解説）