令和元年度 秋期 ITパスポート試験 問56 解説 リスクアセスメントの構成

この問題は、リスクマネジメントのプロセスにおける「リスクアセスメント」の範囲を暗記しているかで正誤が決まります。リスクアセスメントは「特定」「分析」「評価」の3段階であり、その結果を受けて行う「リスク対応」は別工程であると整理するのが正解への近道です。

リスクマネジメントのプロセス

リスクマネジメントは、全体として大きく2つの段階に分かれます。前半の「リスクアセスメント」と、後半の「リスク対応」です。

1. リスクアセスメント（リスクを見つけて、性質を分析し、優先順位を決める） ・リスク特定：どのようなリスクがあるのかを洗い出す作業 ・リスク分析：特定したリスクが起こる可能性と、その影響の大きさを調査する作業 ・リスク評価：分析結果に基づき、リスク対応が必要か、どの程度の優先順位かを判定する作業

2. リスク対応（リスクアセスメントの結果を受けて対策する） ・リスク対応：リスクを減らす（低減）、他に移転する（移転）、そのまま受け入れる（保有）、行わない（回避）といった対策を実行する作業

試験では、この「アセスメント」の範囲がどこまでかという問題が頻出します。注意すべき点は、リスクを「特定・分析・評価」しただけでは、リスク自体はまだ減っていないということです。評価した結果を受けて、初めて「対応」というアクションに移るため、この2つは明確に分けて考える必要があります。

実務における考え方

情報セキュリティ対策を例に挙げると、リスクアセスメントは「社内を巡回してセキュリティの弱点を探し、どの程度危険かを算出する作業」です。一方、リスク対応は「鍵をかける」「ファイアウォールを導入する」といった「具体的な守りの行動」を指します。

試験では「リスクアセスメントのプロセスに含まれるものはどれか」という直接的な問いだけでなく、「リスク対応で実施することはどれか」という逆のパターンで問われることもあります。また、「リスクを特定した後に何を行うか」という問いであれば「分析」や「評価」が正解になります。このように、プロセス全体の流れを順序立てて把握しておくことが重要です。

• リスクマネジメントにおけるプロセスの流れ（情報セキュリティ白書関連解説）