問題
テクノロジ系
問86 情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。
選択肢
- ア受容基準と比較できるように,各リスクのレベルを決定する必要がある。
- イ全ての情報資産を分析の対象にする必要がある。
- ウ特定した全てのリスクについて,同じ分析技法を用いる必要がある。
- エリスクが受容可能かどうかを決定する必要がある。
解説
正解:ア
概要
情報セキュリティのリスクアセスメントを「リスク特定・リスク分析・リスク評価」に分けたとき、リスク分析で何を行うかを問う問題です。
正解の理由
リスク分析は、発生可能性や影響度などを基に、各リスクの大きさ(リスクレベル)を見積もって決める工程です。受容基準と比較して受容可否を判断するのは次段階のリスク評価です。
各選択肢の解説
ア(〇): 受容基準と比較できるように各リスクのレベルを決めるのは、影響度や発生可能性から大きさを見積もるリスク分析に当たり正しいです。
イ(×): 全ての情報資産を必ず対象にするとは限らず、範囲設定や優先度付けが行われます。リスク分析の説明として適切ではありません。
ウ(×): リスクの種類や重要度により定性・定量など手法を使い分けます。全て同一手法が必要という説明は誤りです。
エ(×): リスクが受容可能かを決めるのは、受容基準と比較して判断するリスク評価の内容であり、リスク分析ではありません。
ポイント
リスク分析は「リスクレベルを見積もる」、リスク評価は「受容基準と比べて受容可否を決める」と区別して覚えます。