問題
問57
ISMS における情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”には、リスク対応、リスク評価、リスク分析が含まれる。この活動の流れとして、適切なものはどれか。
- リスク対応 → リスク評価 → リスク分析
- リスク評価 → リスク分析 → リスク対応
- リスク分析 → リスク対応 → リスク評価
- リスク分析 → リスク評価 → リスク対応
[出典:ITパスポート試験 平成29年度秋期 問57]
正解
正解は「エ」です。
解説
正解は「エ:リスク分析 → リスク評価 → リスク対応」です。 ISMS(情報セキュリティマネジメントシステム)では、情報セキュリティリスクを適切に管理するための活動を行います。この活動は、大きく分けて「リスク分析」「リスク評価」「リスク対応」の3つのステップで構成されます。
まず、「リスク分析」では、組織が持つ情報資産(データ、システムなど)に対して、どのような脅威(サイバー攻撃、誤操作など)があり、それらによってどれくらいの脆弱性(弱点)があるのかを洗い出し、情報漏えいやシステム停止といったインシデントが発生する可能性と、その影響度を特定します。例えるなら、家の鍵がどれだけ頑丈か、窓は割れやすいか、泥棒が侵入する可能性はどれくらいか、侵入されたら何が盗まれるかなどを詳細に調べる段階です。
次に、「リスク評価」では、リスク分析で特定したリスクの大きさ(発生可能性と影響度)を評価し、どのリスクを優先的に対応すべきかを判断します。これは、調査した泥棒の侵入リスクが高いと判断された場合、どの対策を優先すべきか(鍵を強化するか、防犯カメラを設置するか)を決める段階です。
最後に、「リスク対応」では、評価されたリスクに対して、具体的にどのような対策(セキュリティソフトの導入、従業員教育、物理的セキュリティ強化など)を行うかを決定し、実行します。つまり、泥棒の侵入リスクが高いと判断し、鍵の強化が最優先と決まった場合に、実際に頑丈な鍵を取り付ける行動に移る段階です。 この一連の流れを繰り返すことで、組織の情報セキュリティを継続的に向上させていきます。
ア(リスク対応 → リスク評価 → リスク分析):
リスク対応は、リスクを理解し評価した後に行う具体的な対策の段階です。最初に実施するものではありません。
イ(リスク評価 → リスク分析 → リスク対応):
リスク評価の前に、リスクの内容を具体的に特定し推定するリスク分析を行うのが一般的です。そのため、リスク分析が先行します。
ウ(リスク分析 → リスク対応 → リスク評価):
リスク分析の後、リスクの重要度を判断するリスク評価を行うべきです。評価する前に対応を決定することは適切なプロセスではありません。
難易度
この問題は、ISMSにおけるリスク管理の基本的な流れを問うもので、情報セキュリティ分野の基礎知識があれば解きやすい部類に入ります。ISMSの概念を学習する際に、リスクマネジメントのプロセスとして「リスク分析」「リスク評価」「リスク対応」の順で覚えているかがポイントになります。専門用語ですが、それぞれの意味を理解していれば、正しい順序を導き出すことは難しくありません。ITパスポート試験の頻出テーマの一つです。
用語補足
ISMS:
ISMS(情報セキュリティマネジメントシステム)とは、情報セキュリティを体系的に管理するための枠組みのことです。企業が情報漏えいやサイバー攻撃などのリスクから情報を守るためのルールや手順を定めて実行し、継続的に改善する仕組みのことです。例えば、会社の機密情報を守るために、誰がどのように情報にアクセスできるか、データをどう保存するか、緊急時にどう対応するかといったルールを決め、それを実行して見直していく活動全体を指します。
リスク対応:
リスク対応とは、識別されたリスクに対して、許容可能なレベルにまで軽減するための具体的な対策を講じることです。リスクを回避したり、低減させたり、移転させたり、受容したりする戦略を指します。例えば、重要なデータが盗まれるリスクに対して、パスワードを複雑にする、データを暗号化する、バックアップを取る、といった具体的なセキュリティ対策を実施することがリスク対応です。
リスク評価:
リスク評価とは、リスク分析の結果を受けて、リスクの重要度を判断し、対応の優先順位を決定することです。リスク分析で特定されたリスクがどの程度深刻で、どれくらいの確率で発生するかを見積もり、それに基づいて対策の必要性を判断する作業です。例えば、泥棒が入る可能性が高いと分析された場合、その被害額と発生確率を考慮して、「これはすぐに対策すべきだ」と判断するプロセスがリスク評価です。
リスク分析:
リスク分析とは、組織が直面する情報セキュリティリスクを特定し、その性質とレベルを理解することです。情報資産にとっての脅威と脆弱性を特定し、それらが情報セキュリティインシデントを引き起こす可能性と、それがもたらす影響を推定するプロセスです。例えば、会社のパソコンにウイルスが侵入する可能性があるか、侵入した場合にどれくらいの情報が漏れるか、ということを具体的に調べて、問題点を洗い出す作業がリスク分析にあたります。
対策
ISMSにおけるリスク管理のプロセスは、情報セキュリティの基本中の基本です。この問題のように流れを問われることが多いため、「リスク分析→リスク評価→リスク対応」の順序を正確に覚えることが重要です。それぞれのステップで何を行うのかを具体的な状況を想像しながら理解すると、記憶に定着しやすくなります。関連する用語(脅威、脆弱性、情報資産など)も合わせて学習しておきましょう。
