平成30年度 春期 ITパスポート試験 公開問題 問70 解説 ISMSのリスク分析

リスク分析の問題では、リスクの算出式 $リスク値 = 資産価値 \times 脅威 \times 脆弱性$ を思い浮かべるのが正解への近道です。この式に当てはめると、各選択肢の正誤を論理的に判断できます。

リスクの計算式と性質 リスクは、守るべきもの（資産価値）が、どれだけ悪意ある攻撃（脅威）にさらされ、どの程度スキがあるか（脆弱性）の掛け合わせで決まります。 アのように資産価値が小さい場合、他の要素が同じであればリスク値は小さくなります。そのため、この選択肢は誤りです。 イについては、全てのリスクを同じ粒度で分析すると多大なコストがかかり非効率です。重要度が高い資産に絞る、あるいは大まかな分析から始めるなど、メリハリをつけるのが実務的です。 ウの紙媒体については、ISMSにおいて情報資産はデジタルデータに限定されません。契約書、会議資料、ホワイトボードの書き込みなども重要な情報資産であり、これらを除外するのは不適切です。 エが正しい理由は、リスク分析に万能な手法が存在しないからです。金融機関であれば金銭的リスクが重視されますし、製造業であれば生産ラインの停止リスクが重視されます。組織を取り巻く状況に応じて、最適な分析手法を選択することがISMSの基本です。

リスク分析の考え方が問われる場面 ITパスポート試験では、リスクアセスメントの手順や、リスク対応（低減、移転、回避、保有）というキーワードとセットで出題されることが多いです。 例えば、リスク分析を行った後に「そのリスクをどう処理するか」という問いに繋がります。分析が適切でなければ、後の対応策も的外れになってしまいます。そのため、分析は単なる作業ではなく、組織のビジネス環境に直結する経営的な判断であるという視点を持つことが重要です。

情報セキュリティマネジメントシステム（ISMS）の概要（情報処理推進機構） リスクアセスメントの考え方（総務省 国民のための情報セキュリティサイト） ISMS認証取得の基礎知識（日本情報経済社会推進協会）