基本情報技術者試験「リスク分析」の問題
D社では特定したリスクについて、対応の優先順位を付けるための分析を行おうとしている。担当者から『各リスクの大きさをどう見積もればよいか』と相談があった。リスク分析におけるリスクの大きさの見積り方として、最も適切なものはどれか。
ア対策にかかる費用が高いものほど大きいリスクとして見積もる。
イ起こりやすさと、起きたとき痛手の大きさとを掛け合わせる。
ウ担当部署からの報告件数が多いものほど大きいと見積もる。
エ対策の有無を問わず、すべてを同じ大きさのものとして扱う。
正解
イ.起こりやすさと、起きたとき痛手の大きさとを掛け合わせる。
リスク分析では、各リスクの大きさを『発生可能性(頻度・起こりやすさ)』と『影響度(顕在化した際の被害の重大さ)』の二軸を組み合わせて算定する。両者を段階評価して掛け合わせるなどしてリスクレベルを求めれば、客観的に優先順位を比較できる。
?選択肢ごとの解説
ア ×対策費用はリスク対応の判断材料ではあるが、リスクそのものの大きさ(可能性×影響度)を表す指標ではない。
イ ○リスク分析では、各リスクの大きさを『発生可能性(頻度・起こりやすさ)』と『影響度(顕在化した際の被害の重大さ)』の二軸を組み合わせて算定する。両者を段階評価して掛け合わせるなどしてリスクレベルを求めれば、客観的に優先順位を比較できる。
ウ ×報告件数の多さは関心や検知のしやすさを反映するに過ぎず、影響度を含むリスクの大きさを正しく表さない。
エ ×すべてを同一の大きさと扱うと優先順位が付けられず、限られた資源を重大なリスクへ重点配分する分析の目的を果たせない。
✎くわしく
リスクレベルは一般に『発生可能性×影響度』で表され、これがリスクマトリクスの二軸となる。定性的(高・中・低)にも定量的(金額・確率)にも算定でき、いずれも可能性と影響度の二要素を基礎とする点が共通である。
✓本番での押さえどころ
試験のコツ
リスクの大きさ=『発生可能性(頻度)×影響度』。リスクマトリクスの二軸をそのまま覚えておく。
覚え方
リスクは『どれだけ起きやすいか × 起きたらどれだけ痛いか』の掛け算。
よくある誤り
対策費用や報告件数といった『リスクの大きさそのものではない指標』をリスクレベルの基準と取り違える。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0136