平成30年度 秋期 ITパスポート試験 公開問題 問99 解説 ISMSリスク評価

リスクアセスメントの3つのステップ（特定・分析・評価）を正しく区別できるかがポイントです。各選択肢がどのステップに該当するかを見極めれば、消去法で正解を導き出せます。

リスクアセスメントのプロセス ISMS（情報セキュリティマネジメントシステム）におけるリスクアセスメントは、一般的に以下の順序で進められます。

1. リスクの特定 情報資産の洗い出しを行い、どのような脅威や脆弱性があるかをリストアップする作業です。「何を守るべきか」「何がリスクになり得るか」を列挙する段階で、選択肢bの内容がこれに該当します。

2. リスクの分析 特定されたリスクについて、その発生確率や影響度を推定し、リスクの大きさを算出する作業です。「どの程度危険なのか」を具体的に見極めます。

3. リスクの評価 分析結果と、組織が事前に定めたリスク受容基準（どの程度のレベルなら許容できるかという基準）を比較します。その上で、優先的に対策すべきリスクはどれかを決定します。選択肢aにある優先順位付けは、この「評価」の段階で行う中心的な活動です。

選択肢の判定 選択肢cにある「対応を実施するかどうかを判断するための基準を定める」ことは、リスクアセスメント（特定・分析・評価）に入る前の「準備段階」や、リスク対応の計画策定段階で行うことです。リスクアセスメントの実施そのものというよりは、前提条件の定義にあたります。

したがって、リスクの評価として適切なのはaのみとなります。

試験での活用方法 試験では、この3つのプロセスが入れ替わったり、混同させたりする問題が頻出します。「洗い出すのが特定」「大きさを決めるのが分析」「優先順位をつけるのが評価」というキーワードをセットで覚えておくと、同様の設問で迷うことがなくなります。また、リスクの「対応」は、アセスメントが完了した後に初めて議論されるものである、という順序関係も理解しておきましょう。

• 総務省 国民のための情報セキュリティサイト リスクマネジメントとは