情報セキュリティ

基本情報技術者試験リスク分析」の問題

情報セキュリティ情報セキュリティ難易度:normal
D社では特定したリスクについて、対応の優先順位を付けるための分析を行おうとしている。担当者から『各リスクの大きさをどう見積もればよいか』と相談があった。リスク分析におけるリスクの大きさの見積り方として、最も適切なものはどれか。
対策にかかる費用が高いものほど大きいリスクとして見積もる。
起こりやすさと、起きたとき痛手の大きさとを掛け合わせる。
担当部署からの報告件数が多いものほど大きいと見積もる。
対策の有無を問わず、すべてを同じ大きさのものとして扱う。
正解
起こりやすさと、起きたとき痛手の大きさとを掛け合わせる。

リスク分析では、各リスクの大きさを『発生可能性(頻度・起こりやすさ)』と『影響度(顕在化した際の被害の重大さ)』の二軸を組み合わせて算定する。両者を段階評価して掛け合わせるなどしてリスクレベルを求めれば、客観的に優先順位を比較できる。

?選択肢ごとの解説

ア ×対策費用はリスク対応の判断材料ではあるが、リスクそのものの大きさ(可能性×影響度)を表す指標ではない。
イ ○リスク分析では、各リスクの大きさを『発生可能性(頻度・起こりやすさ)』と『影響度(顕在化した際の被害の重大さ)』の二軸を組み合わせて算定する。両者を段階評価して掛け合わせるなどしてリスクレベルを求めれば、客観的に優先順位を比較できる。
ウ ×報告件数の多さは関心や検知のしやすさを反映するに過ぎず、影響度を含むリスクの大きさを正しく表さない。
エ ×すべてを同一の大きさと扱うと優先順位が付けられず、限られた資源を重大なリスクへ重点配分する分析の目的を果たせない。

くわしく

リスクレベルは一般に『発生可能性×影響度』で表され、これがリスクマトリクスの二軸となる。定性的(高・中・低)にも定量的(金額・確率)にも算定でき、いずれも可能性と影響度の二要素を基礎とする点が共通である。

本番での押さえどころ

試験のコツ

リスクの大きさ=『発生可能性(頻度)×影響度』。リスクマトリクスの二軸をそのまま覚えておく。

覚え方

リスクは『どれだけ起きやすいか × 起きたらどれだけ痛いか』の掛け算。

よくある誤り

対策費用や報告件数といった『リスクの大きさそのものではない指標』をリスクレベルの基準と取り違える。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0136

【基本情報技術者試験】リスク分析の問題 — 解答・解説|ukamiru 過去問