問題
問99
ISMSにおける情報セキュリティリスクアセスメントでは、リスクの特定,分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
- a あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。
- b 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。
- c リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。
- a
- a, b
- b
- c
[出典:ITパスポート試験 平成30年度秋期 問99]
正解
正解は「ア」です。
解説
正解は「ア:a」です。 情報セキュリティリスクアセスメントは、「リスクの特定」「リスクの分析」「リスクの評価」の3つのステップで構成されます。 問題文の選択肢a、b、cがそれぞれどのステップに該当するかを考えると、 「a. あらかじめ定めた基準によって、分析したリスクの優先順位付けを行う。」は、リスクの深刻度や発生可能性を比較し、どのリスクから対応すべきかを決める「リスクの評価」に該当します。
「b. 保護すべき情報資産の取扱いにおいて存在するリスクを洗い出す。」は、情報資産にどのような危険が潜んでいるかを見つけ出す「リスクの特定」に該当します。 「c. リスクが顕在化したときに、対応を実施するかどうかを判断するための基準を定める。」は、特定されたリスクに対してどのように対処するか(例えば、リスクを受け入れるか、軽減するかなど)を検討する「リスク対応」のステップの一部と考えられますが、リスクアセスメントの「評価」には直接含まれません。 したがって、「リスクの評価」に該当するのは「a」のみです。
イ(a, b):
「b」はリスクの「特定」の段階で行うことであり、「評価」ではありません。
ウ(b):
「b」はリスクの「特定」の段階で行うことであり、「評価」ではありません。
エ(c):
「c」はリスク対応に関する基準を定めるものであり、リスクアセスメントの「評価」の段階とは異なります。
難易度
この問題の難易度は中程度です。情報セキュリティマネジメントシステム(ISMS)におけるリスクアセスメントのプロセスを正確に理解しているかが問われます。特に、「特定」「分析」「評価」の各ステップで何を行うかを混同しやすいポイントなので、それぞれの定義をしっかり覚えている必要があります。用語の意味を正確に把握していれば解けますが、あいまいだと迷う可能性があります。
用語補足
ISMS:
情報セキュリティマネジメントシステム(Information Security Management System)の略で、組織が情報セキュリティを管理するための仕組みのことです。例えば、会社の機密情報や顧客データなどを、どのようなルールで守っていくかを決めて、それを実行し、定期的に見直す一連の流れを指します。
リスクアセスメント:
組織が持つ情報資産に対するリスクを、どの程度危険なのか(リスクの特定)、なぜ危険なのか(リスクの分析)、どれくらい優先して対応すべきか(リスクの評価)を見積もるプロセスです。例えば、自宅の貴重品(情報資産)が盗まれる可能性(リスク)を考え、鍵をかける(対策)前に、その危険度を調べることに似ています。
リスクの特定:
情報セキュリティにおけるリスクアセスメントの最初のステップで、情報資産がどのような危険にさらされているかを発見することです。例えば、銀行の現金自動預け払い機(ATM)を例にすると、停電で使えなくなる、データが盗まれる、といった潜在的な問題をリストアップする段階です。
リスクの評価:
特定されたリスクに対して、どのリスクが最も重要で、優先的に対処すべきかを判断するプロセスです。例えば、リストアップされたATMの問題の中から、「停電で数時間使えない」よりも「顧客データが漏洩する」方が深刻度が高いため、後者を優先して対策しようと決めるのがこの段階です。
対策
この問題を解くためのポイントは、ISMSにおける「リスクの特定」「リスクの分析」「リスクの評価」の各プロセスで具体的にどのような活動が行われるかを正確に理解することです。特に、「リスクを洗い出す」は特定、「優先順位付けを行う」は評価、といったキーワードを関連付けて覚えると良いでしょう。それぞれのプロセスの目的を明確にし、混同しないように区別して学習することが対策になります。
