ITパスポート 令和3年度 問88：セキュリティマネジメントに関する問題

答えは b「リスク特定」 です。

危険（リスク）に備えるとき、まずは『どんな危険があるか洗い出す』ことから始めます。これがリスク特定。料理でいうと、作る前にまず『冷蔵庫に何があるか確認する』のと同じ。何があるか分からないと対策のしようがありませんよね。

👉 覚え方：「まず見つける（特定）→ 次に分析・評価 → 最後に対応」。

ほかの選択肢：a リスク対応＝危険への手を打つ（最後）／c リスク評価＝危険の大きさを判断する／d リスク分析＝危険の中身を詳しく調べる。一番最初は『どんな危険があるか見つける』リスク特定です。

なぜこれが正解か

正解は b（リスク特定）。ISMSのリスクアセスメントは『リスク特定 → リスク分析 → リスク評価』の順で進む。最初に行うのはどんなリスクが存在するかを洗い出すリスク特定。

各選択肢の解説

• a リスク対応：アセスメント（特定・分析・評価）の後に、評価結果に基づいて低減・回避・移転・受容などの手を打つ段階。
• c リスク評価：分析で算出したリスクの大きさを、あらかじめ定めた基準（リスク受容基準）と照らして優先順位を決める段階。
• d リスク分析：特定したリスクについて、発生可能性と影響度からリスクの大きさ（リスクレベル）を算定する段階。

覚え方・ひっかけ注意

用語の階層に注意。リスクアセスメント＝特定＋分析＋評価の3工程の総称。リスク対応はアセスメントの外（後工程）。順序は『特定→分析→評価→（対応）』。『最初』と問われたら特定。

理論的背景

ISMS のリスクアセスメントは ISO/IEC 27005（情報セキュリティリスク管理）および ISO 31000（リスクマネジメント）に準拠した手順で実施される。リスクアセスメントは「リスク特定 → リスク分析 → リスク評価」の3段階のプロセスで構成される：

リスク特定（Risk Identification） ─ 第1段階（本問の正解）

情報資産・脅威・脆弱性を洗い出し、情報セキュリティリスクとしてあり得る事象を識別する。「何がリスクになりうるか」を把握しなければ、後の分析・評価が成立しない。資産目録（情報資産台帳）の作成が前提となる。

リスク分析（Risk Analysis） ─ 第2段階

特定したリスクについて、発生可能性（発生頻度）と影響度（損失の大きさ）を評価してリスクレベルを算定する。定量的分析（金額・頻度の数値化）と定性的分析（高・中・低などの相対評価）がある。

リスク評価（Risk Evaluation） ─ 第3段階

算定したリスクレベルを組織のリスク受容基準と比較して優先度を決定する。受容できないリスクがリスク対応の対象となる。

リスク対応（Risk Treatment） ─ アセスメントの外（後工程）

評価結果に基づいてリスク低減・回避・移転・受容の選択肢から対応策を選ぶ。本問では「リスクアセスメントにおいて最初に行うもの」を問うているため、リスク対応は正解候補から除外される。

実務での使われ方

リスクアセスメントの出発点として情報資産の棚卸し（資産目録の作成）が最初の実作業となる。情報資産には電子データ（顧客情報・設計書・契約書）・ハードウェア（サーバ・PC・スマートフォン）・ソフトウェア（基幹システム・メールシステム）・人的資産（スキル・ノウハウ）・無形資産（ブランド・信用）が含まれる。

リスクの定量化の代表的手法：

• ALE（Annual Loss Expectancy: 年間予想損失） = 単一損失期待値（SLE）× 年間発生頻度（ARO）
• リスクマトリクス: 「発生可能性（高・中・低）× 影響度（高・中・低）」の9マスで視覚化

試験での位置づけ

ITパスポートのセキュリティマネジメント分野で「リスクアセスメントの3段階の順序」は頻出テーマ。本問では「最初に行うもの = リスク特定」という点が核心で、「分析が先では？」「評価が先では？」という誤解を排除することが重要だ。リスクアセスメント（特定・分析・評価の3工程）とリスク対応（アセスメントの後工程）の境界を明確に区別することが、このテーマの最重要ポイント。本バッチの PDCA 問（7d046122）と合わせて、ISMS の運用サイクル全体（P:リスクアセスメント→管理策計画、D:実施、C:監視、A:是正）として理解すると体系化できる。

選択肢の発展補足

選択肢 a「リスク対応」 はリスクアセスメントの全3工程を終えた後に実施する手続きで、評価結果に基づいて管理策を選定・実施する。4つのオプション（低減・回避・移転・受容）の識別も試験頻出：

• リスク低減: セキュリティ管理策の導入でリスクを許容範囲に下げる
• リスク回避: リスクの原因となる活動自体をやめる（例：外部公開システムの廃止）
• リスク移転（共有）: 保険加入・外部委託でリスクを第三者と共有する
• リスク受容: リスクレベルが許容範囲内であると判断してそのまま受け入れる

選択肢 c「リスク評価」 は第3段階で、分析で算出したリスクレベルを受容基準と比較する。「最初」という条件に反するため不正解。ただしリスク評価は特定・分析の後に来るため「最初ではないが重要なステップ」として機能する。

選択肢 d「リスク分析」 は第2段階で、特定したリスクの大きさを算定する。特定なしに分析は始められないため「最初」ではない。リスク分析と評価は連続した工程として一括で「リスクアセスメント」と呼ばれることもあり（ISO 31000 では分析と評価を合わせてアセスメントと定義する場合もある）、用語の使われ方に注意が必要だ。ISMS の文脈では「特定→分析→評価」の3段階を明確に区別することが重要。