ISMSのリスクアセスメントにおいて，最初に行うものはどれか。

令和3年度 ITパスポート試験公開問題問88 解説 ISMSリスクアセスメント

ISMS（情報セキュリティマネジメントシステム）におけるリスクアセスメントは、必ず「リスク特定」から始まります。このプロセスは「特定→分析→評価」という3段階で構成されると覚えておくのが、最も確実な解き方です。

リスクアセスメントの全体像と各工程の役割

リスクアセスメントとは、組織が抱える情報セキュリティ上の脅威や脆弱性を見つけ出し、それがどれほど危険かを判断して、どのような対策をとるべきかを決めるための一連の作業です。

リスク特定まずは、守るべき資産（情報、ハードウェア、ソフトウェアなど）が何であるかを明確にし、それらに対してどのような脅威（不正アクセス、盗難、災害など）があるかを洗い出します。まだ「どのリスクが一番深刻か」を考える段階ではなく、「どんなリスクが存在するか」を網羅的にリストアップする作業です。
リスク分析特定されたリスクについて、その「発生する可能性」と「発生したときの損失（影響度）」を調べます。例えば「サーバーへの侵入」というリスクに対し、過去の事例から確率を予測したり、情報漏えいした際の被害額を推定したりします。
リスク評価分析の結果をもとに、そのリスクが許容できる範囲内か、それとも直ちに対策が必要なほど危険かを判定します。この結果をふまえて、次のステップである「リスク対応（対策をとる、リスクを回避するなど）」へ進みます。

試験での活用ポイント

この問題は、リスクアセスメントの順序を問うパターンとして非常によく出題されます。頭の中で「まず何が守るべきものかを探し（特定）、それがどれくらいヤバいか調べ（分析）、それに対処すべきか決める（評価）」という流れをストーリーとしてイメージしておくと、丸暗記しなくてもスムーズに答えを導き出せます。

また、リスクアセスメントの全体的な流れを整理すると以下のようになります。

リスク特定（資産と脅威の抽出） ↓ リスク分析（可能性と影響度の見積もり） ↓ リスク評価（優先順位づけと対策要否の判断） ↓ リスク対応（対策の実施や許容）

このように、「特定」が最初であると押さえておけば、類似問題で選択肢が並んだ際も迷うことはありません。