平成26年度 春期 ITパスポート試験 公開問題 問72 解説 リスクアセスメント

リスク算出の基本公式を覚える

この問題の正解を導くための鍵は、リスクを算出するための以下の関係式を頭に入れておくことです。

$リスクの大きさ = 資産価値 \times 脅威 \times 脆弱性$

この式を念頭に置けば、リスクの大きさは「資産価値」「脅威」「脆弱性」の3つの要素をかけ合わせて決定されることがわかります。したがって、これら3つの要素からリスクが決まるという関係性を示した選択肢エが正解となります。

なぜこの3要素が重要なのか

情報セキュリティにおいてリスクとは、単に「何かが起きるかもしれない」という漠然とした不安ではありません。以下の3つの要素を客観的に評価することで、初めて具体的な対策の優先順位が見えてきます。

資産価値：その情報やシステムは、どれほど重要なものか。失った場合、どれくらいの損害が出るか。 脅威：攻撃者や災害、誤操作など、資産を損なわせようとする要因の発生頻度。 脆弱性：資産が持つ弱点。攻撃者がその弱点を利用しやすければ、リスクは高まります。

例えば、非常に高い資産価値を持つサーバーであっても、外部から隔離されていて脆弱性がゼロであれば、リスクは低いと判断されます。逆に、脆弱性があっても資産価値が低ければ、優先度は下げられます。このように「どこにリソースを割いて守るべきか」を判断するために、この関係式は必要不可欠な考え方です。

実務におけるリスクアセスメントの活用

企業がセキュリティ対策を行う際、予算や人員には限りがあります。そのため、すべての項目に全力で対策することは現実的ではありません。

そこで現場では、まず保有する資産を洗い出し、それぞれの「資産価値」を確認します。次に、どのような「脅威」が想定され、現在のシステムにどの程度の「脆弱性」があるかを評価します。こうして算出された「リスクの大きさ」に基づき、「リスクが高い部分から重点的に予算を投じる」といった意思決定が行われます。

この問題の教育的意図は、単なる用語の暗記ではなく、「なぜリスクを分析するのか」という目的意識を持たせることにあります。セキュリティ対策を「守るため」だけでなく「経営資源を効率的に配分するため」のツールとして捉えられるようになると、ITパスポートの試験対策としても、実務的な観点としても一歩進んだ理解ができます。

参考リンク

• 情報セキュリティのリスクアセスメント（初心者向け解説）
• 【ITパスポート】情報セキュリティのリスク管理をわかりやすく解説（YouTube動画）
• 情報セキュリティマネジメントシステム（ISMS）の定義（JIS Q 27001）