平成30年度 秋期 ITパスポート試験 公開問題 問68 解説 リスクアセスメント

リスクアセスメントという言葉は「リスク（危険）」と「アセスメント（評価）」を組み合わせたものです。この問題は、情報セキュリティにおけるリスク管理のプロセスを正しく理解しているかを問うています。正解のポイントは、リスクアセスメントが「リスクそのものをどうするか」を決めるための前段階、すなわち「リスクを見極める工程」であることを把握することです。

リスクアセスメントのプロセス

リスクアセスメントは、単にリスクを数えることではありません。主に以下の3つのステップで構成されます。

1. リスク特定：守るべき情報資産（PC、顧客データ、サーバなど）をリストアップし、それにどのような脅威（ウイルス、盗難、操作ミスなど）や脆弱性（設定不備、ソフトの未更新など）があるかを洗い出します。
2. リスク分析：特定したリスクが発生した場合の影響の大きさと、発生する可能性の高さを見積もります。
3. リスク評価：分析結果を、企業や組織が定めた「許容できるリスクの基準」と比較します。「このままでは危険すぎるので対策が必要だ」「この程度のリスクなら許容できる」といった判断を下すのがこのステップです。

選択肢イは、まさにこの「分析、評価、対応の判断」という一連の流れを記述しているため、正解となります。

他の選択肢を検討する

ア：これは「インシデント対応」や「ウイルス対策」と呼ばれる作業です。リスクアセスメントは事前の計画段階の活動であり、すでに入り込んだウイルスを駆除するような実務的な対処そのものを指すわけではありません。

ウ：これは「本人認証」の説明です。パスワード入力や生体認証などを指します。

エ：これは「コストベネフィット分析（費用対効果分析）」と呼ばれるもので、情報システムの導入に限らずビジネス全般で行われる経済性の評価です。セキュリティ対策の導入検討時に行われることはありますが、リスクアセスメントの定義そのものではありません。

リスクアセスメントは、IPA（情報処理推進機構）が公開している情報セキュリティ管理ガイドラインなどにおいても、情報セキュリティマネジメントシステム（ISMS）を構築する上で最も重要な土台と位置付けられています。試験対策としては、リスクアセスメントは「対策そのもの」ではなく「対策が必要かどうかを判断するための分析作業」であると区別して覚えておくと、他の応用問題にも対応しやすくなります。

• IPA 情報セキュリティマネジメントシステム（ISMS）の概要
• 中小企業の情報セキュリティ対策ガイドライン（IPA）
• JIPDEC ISMS（情報セキュリティマネジメントシステム）適合評価制度の解説