情報セキュリティにおけるリスクアセスメントを、リスク特定、リスク分析, リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。
- ア. 受容基準と比較できるように、各リスクのレベルを決定する必要がある。
- イ. 全ての情報資産を分析の対象にする必要がある。
- ウ. 特定した全てのリスクについて、同じ分析技法を用いる必要がある。
- エ. リスクが受容可能かどうかを決定する必要がある。
【答え】ア
【解説】
情報セキュリティにおけるリスクアセスメントは、以下の3つのステップに分けられます。
| プロセス名 | 目的・内容 |
|---|---|
| ① リスク特定 | 情報資産、脅威、脆弱性を洗い出し、どんなリスクが存在するかを明らかにする |
| ② リスク分析 | リスクの発生可能性と影響度を評価し、リスクの大きさ(リスクレベル)を算定する |
| ③ リスク評価 | リスク分析の結果を受容基準と比較し、対応が必要かどうか判断する |
各選択肢の解説
ア. 受容基準と比較できるように、各リスクのレベルを決定する必要がある。
→ ⭕ リスク分析では、リスクの大きさ(リスクレベル)を定量的または定性的に評価します。これにより、次のプロセス(リスク評価)で受容基準と比較できる状態になります。
イ. 全ての情報資産を分析の対象にする必要がある。
→リソースの制約から重要な情報資産(リスクレベルの高い資産など)に絞るのが一般的で、全資産を対象にする必要はありません。
ウ. 特定した全てのリスクについて、同じ分析技法を用いる必要がある。
→リスク分析にはベースラインアプローチ、非形式的アプローチ、詳細リスク分析などの手法があり、求めるセキュリティレベルやコストによって、用いるべき手法は変わります。
エ. リスクが受容可能かどうかを決定する必要がある。
→これはリスク評価の目的です。リスク分析の段階では、リスクの大きさを測るだけで、受容判断はしません。
以上より、正解はア.となります。
情報セキュリティ1~情報セキュリティの概要とリスクマネジメント~ 
