ITパスポート 令和4年度 問86：情報セキュリティ・リスクアセスメントに関する問題

答えは a です。

リスクへの対応は3ステップ。①特定＝「どんな危険があるか洗い出す」、②分析＝「その危険がどれくらいヤバいか大きさを測る」、③評価＝「許せるレベルか判断する」。

問われているのは②分析。aは「各リスクのレベルを決める（＝大きさを測る）」なので分析にあたります。

👉 覚え方：「特定＝見つける／分析＝測る／評価＝決める」。

ほかの選択肢：dの「受容できるか決める」は③評価のこと。bやcの“全部やる必要がある”という言い切りは正しくありません。

なぜこれが正解か

正解は a。リスクアセスメントは「リスク特定→リスク分析→リスク評価」の順。リスク分析は、特定したリスクの発生可能性と影響度から、後で受容基準と比較できるよう各リスクのレベル（大きさ）を決定する工程。aはこれに該当する。

各選択肢の解説

• b 全資産を分析対象にする必要はなく、重要度に応じて対象を絞る。
• c リスクごとに適切な分析技法を選んでよく、同一技法に限定されない。
• d 「受容可能か決定する」のはリスク評価の工程であり、分析ではない。

覚え方・ひっかけ注意

「特定＝洗い出し／分析＝レベル算定（測る）／評価＝受容基準と比較して判定（決める）」。dは評価との取り違えを狙った典型的な引っかけ。

理論的背景

リスクアセスメントはISO 31000（リスクマネジメントの国際規格）およびISO/IEC 27005（情報セキュリティリスク管理）で体系化された3段階のプロセスだ。リスク特定はリスクの源泉・原因・潜在的な事象・結果を洗い出す。リスク分析は特定したリスクの性質を理解し、リスクレベルを決定する工程で、「発生可能性（Likelihood）」と「影響度（Impact）」を組み合わせた結果がリスクレベルとなる。リスク評価は分析で得たリスクレベルをあらかじめ設定した「リスク基準（受容基準）」と比較し、対応の要否・優先順位を判定する。本問の正解（a）が「受容基準と比較できるようレベルを決定する」としているのは、リスク分析で「後続のリスク評価が比較できる形でレベルを算定する」という役割を正確に示している。受容基準と比較して「受容可能か否かを判定する」行為はリスク評価の工程であり（選択肢d）、この境界線が試験の核心となる。

実務での使われ方

リスク分析の手法には定量的分析と定性的分析がある。定量的分析では年間予想損失額（ALE＝単一事象での予想損失額×年間発生率）など金額換算で表し、費用対効果の検討に使う。定性的分析では「高・中・低」や5段階評価のマトリクスでリスクレベルを表し、専門家の判断を組み合わせる。実際の企業ではシステム・資産の重要度分類（機密・重要・一般等）をベースに、脅威（不正アクセス・内部漏えい・災害等）と脆弱性（パッチ未適用・認証不備等）を掛け合わせてリスクレベルを算出する。重要資産に絞り込んで分析するのが実務の常識で（選択肢bの「全資産を対象」は非現実的）、費用対効果（コスト最適化）が常に意識される。

試験での位置づけ

ITパスポートのセキュリティ・マネジメント分野で毎年問われる。3プロセスの役割分担を問う形式が定番で、特に「分析＝レベル算定」と「評価＝受容判定」の境界が試験の核心だ。リスクアセスメントの後続プロセスである「リスク対応（回避・低減・移転・保有の4分類）」との関係も頻出で、セットで理解しておくと応用問題にも強い。基本情報技術者ではISO 31000のリスクマネジメントプロセス全体（コンテキスト確立→アセスメント→対応→モニタリング・レビュー）まで問われる。情報処理安全確保支援士ではALEを用いた定量的リスク計算やリスク受容基準の設定方法まで踏み込む。

選択肢の発展補足

選択肢b（全ての情報資産を対象にする必要がある）：これは「網羅性」を装った誤りの典型だ。実務では資産の重要度分類で優先度を付け、高重要資産に分析を集中させる。全資産を同等に扱うと費用・時間が膨大になるだけで、リスク管理の実効性が下がる。選択肢c（全てのリスクに同じ分析技法を用いる必要がある）：リスクの性質（定量化できるか否か、専門家知識の有無等）に応じて適切な技法を選ぶのが正しい。業務継続リスクには定量的、新技術リスクには定性的、という使い分けが一般的だ。「統一すべき」という強制表現が誤りのサインとなっている。選択肢d（受容可能かどうかを決定する）：これはリスク評価の定義そのもので、分析の説明として使われると誤りになる。分析は「材料を揃える（レベル算定）」、評価は「判定を下す（受容可否）」という役割分担を押さえることが本問の本質だ。