次の作業a~dのうち、リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a 脅威や脆弱性などを使って、リスクレベルを決定する。
b リスクとなる要因を特定する。
c リスクに対してどのように対応するかを決定する。
d リスクについて対応する優先順位を決定する。
- ア. a, b
- イ. a, b, d
- ウ. a, c, d
- エ. c, d
【答え】イ
【解説】
リスクマネジメントの一連の流れは大きくリスクアセスメント(リスク特定、リスク分析、リスク評価)とリスク対応から成ります。
① リスク特定
守るべき情報資産を洗い出し、脅威(不正アクセス、自然災害、内部不正など)と脆弱性を特定します。
② リスク分析
特定したリスク(脅威と脆弱性)に対して、それがどの程度の影響を与えるか、どのくらい発生しやすいかを評価します。リスクの重大度を定量的・定性的に評価し、優先的に対応すべきリスクを明らかにします。
③ リスク評価
リスク分析で洗い出したリスクの重大性を判断し、どのリスクにどのように対応するかを決定するための評価プロセスです。洗い出したリスクの重大性や優先度を明確にして、対策が必要なリスクと許容できるリスクを区別します。
④ リスク対応
リスク評価の結果に基づいて、どのリスクにどのように対処するかを決定・実行するプロセスです。
各選択肢の解説
a 脅威や脆弱性などを使って、リスクレベルを決定する。
→ ⭕ リスク分析(リスクアセスメントに含まれる)
b リスクとなる要因を特定する。
→ ⭕ リスク特定(リスクアセスメントに含まれる)
c リスクに対してどのように対応するかを決定する。
→ ❌ リスク対応(リスクアセスメントには含まれない)
d リスクについて対応する優先順位を決定する。
→ ⭕ リスク評価(リスクアセスメントに含まれる)
以上より、正解はイ. a, b, dとなります。
情報セキュリティ1~情報セキュリティの概要とリスクマネジメント~ 
