令和3年度 ITパスポート試験 公開問題 問91 解説 リスクアセスメント

リスクアセスメントに含まれる範囲を特定するには、ISOなどで定義される「リスクアセスメントの3つのプロセス」を覚えているかが鍵になります。

この問題は、以下の3段階を区別できれば正解にたどり着けます。

1. リスク特定（何がリスクなのかを洗い出す）
2. リスク分析（リスクが起こる確率や影響度を考える）
3. リスク評価（分析結果に基づき、リスクの大きさや優先順位を決める）

選択肢を当てはめると、b（リスク特定）は1に該当します。a（リスクレベルの決定）は2と3のプロセスにまたがる作業であり、d（優先順位の決定）は3のプロセスに含まれます。一方、cの「リスクに対してどのように対応するか（回避、低減など）を決定する」ことは、リスクアセスメントが完了した後に実施する「リスク対応」という別のステップになります。したがって、リスクアセスメントに含まれるのは a, b, d です。

リスクマネジメントの全体像は、まずリスクアセスメント（特定・分析・評価）を行い、その結果を受けてリスク対応（対策の実施）を行うという順序で進みます。ITパスポート試験では、「特定」や「評価」といった言葉がどの段階を指すのかを問う問題が頻出です。特に「リスク対応の決定」は、アセスメント（判断材料を揃えること）とは別の作業であるという境界線を意識しておくと、ひっかけ問題に強くなれます。

この知識は、情報セキュリティマネジメントの構築プロセスを問う問題や、システム開発におけるプロジェクト管理の問題でも頻出です。例えば「リスクを特定し、その大きさを評価した結果、対策を講じないことにした」というシナリオも、この一連の流れを理解していれば自然な判断として納得できるはずです。まずは「分析・評価でリスクの大きさを測り、その後に対応方針を決める」という順序をセットで覚えておきましょう。

• 情報セキュリティマネジメントシステム（ISMS）の基礎知識（JIPDEC）
• 情報セキュリティの3要素とリスクマネジメント（IPA 情報セキュリティ安心相談窓口）