平成29年度 春期 ITパスポート試験 公開問題 問63 解説 リスクマネジメント

リスクマネジメントのプロセスは、大きく4つのステップで構成されます。この問題では、最終段階であるリスク対応の役割を理解しているかが問われています。

選択肢の判断基準は、各プロセスの「目的」にあります。

ア：リスク特定（リスクは何かを探す） イ：リスク評価（対策が必要か判断する） ウ：リスク分析（リスクの大きさを計算する） エ：リスク対応（具体的にどう対処するかを決める）

このように、プロセスを順番通りに整理することで、正解であるエを導き出せます。

リスクマネジメントの基本プロセス

情報セキュリティにおけるリスクマネジメントは、以下の順序で進みます。

1. リスク特定 資産、脅威、脆弱性を洗い出し、組織にどのようなリスクがあるかをリストアップします。
2. リスク分析 特定したリスクについて、発生確率と影響度を掛け合わせ、リスクの大きさを定量あるいは定性的に見積もります。
3. リスク評価 分析したリスクの大きさを、あらかじめ決めておいた受容基準と比較します。リスクが許容範囲内か、それとも直ちに対策が必要か、優先順位をつけて判断します。
4. リスク対応 評価の結果、対策が必要だと判断されたものに対し、具体的な行動を計画します。ここでの対処方法には「回避（リスクの原因を取り除く）」「軽減（損害を減らす対策をする）」「移転（保険やアウトソーシングでリスクを分担する）」「保有（対策コストとリスクを天秤にかけ、許容してそのままにする）」の4つがあります。

この問題の教育的意図

この問題は、単に用語を暗記するだけでなく、実務におけるリスクへの向き合い方を理解させる意図があります。

現実の組織では、あらゆるリスクをゼロにすることはコスト面で不可能です。そのため、まずリスクを洗い出し（特定）、計算し（分析）、その重要度を評価した上で、限られたリソースをどこに投下すべきかを決定する（対応）というステップが不可欠です。ITパスポート試験では、この論理的なプロセスを業務の進め方として身につけているかが問われます。

試験対策としては、この4つの段階が「特定→分析→評価→対応」という順番であることと、それぞれのフェーズで具体的に「何をしているのか」をセットで覚えることが重要です。

情報セキュリティマネジメントシステム（ISMS）の概要 - IPA 独立行政法人 情報処理推進機構 リスクマネジメントとは - IT用語辞典 e-Words