令和4年度 ITパスポート試験 公開問題 問86 解説 リスク分析の定義

この問題は、情報セキュリティのリスクマネジメントにおける3つの主要プロセス、すなわち「リスク特定」「リスク分析」「リスク評価」の定義を区別できるかがポイントです。

リスク分析とは、特定されたリスクに対して「どれくらいの確率で発生し、どの程度の影響があるか」というレベルを算出する工程を指します。選択肢アが正解となる理由は、この算出されたリスクレベルこそが、次に続く「リスク評価（対策をするか決める段階）」で受容基準と比較するための判断材料になるからです。

リスクアセスメントの3工程の流れは以下の通りです。

1. リスク特定：どのようなリスクがあるかを洗い出す（リストアップする）。
2. リスク分析：特定したリスクがどれくらい深刻か、発生可能性や影響度からレベルを決定する。
3. リスク評価：分析されたリスクレベルと、組織が許容できる範囲（受容基準）を比較し、対策が必要かどうかを決定する。

選択肢エにある「リスクが受容可能かどうかを決定する」は、分析ではなく「リスク評価」の定義です。試験では、この3つのプロセスを混同させる引っかけ問題が非常によく出題されます。「分析はレベルの決定（数値化）」「評価は対策の要否（判断）」と整理して覚えておきましょう。

その他の選択肢についての注意点です。

選択肢イについて：全ての情報資産を対象にする必要はありません。重要性の高い情報資産に絞ってアセスメントを行うのが一般的です。コストやリソースには限りがあるため、優先順位付けが重要になります。

選択肢ウについて：全てのリスクに対して画一的な分析技法を用いる必要はありません。リスクの性質に応じて、定性的な手法（高・中・低などで評価する）や定量的な手法（金額で評価する）を使い分けるのが適切です。

この知識は、実務においても「何から対策すべきか」を判断する際の基礎となります。また、ITパスポート試験では、本問のような定義を問う問題のほか、具体的なリスク事例を挙げて「これはどのプロセスに該当するか」を問うパターンも想定されます。常に「いま自分はリスクの大きさを測っているのか、それとも対策をするか決めているのか」という視点を持つようにしてください。

• 情報セキュリティマネジメントシステム（ISMS）の概要（JIPDEC）
• リスクアセスメント（Wikipedia）