対象試験と出題頻度
リスクアセスメントは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで出題される超重要テーマです。
「特定」「分析」「評価」の3ステップの違いを正確に理解することが、得点のカギになります。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
リスクアセスメント(Risk Assessment)とは、一言で言うと「リスクを洗い出し、その大きさを分析し、対策が必要かどうかを判断するプロセス」のことです。
イメージとしては、「健康診断で病気のリスクを調べて、治療が必要かどうかを判断する」ようなものです。
まず検査で異常がないか調べ(特定)、異常が見つかったら詳しく検査して重症度を調べ(分析)、その結果をもとに治療が必要かどうかを医師が判断する(評価)。リスクアセスメントもこれと同じ流れで進みます。
情報処理試験を勉強していると、「特定と分析って何が違うの?」「分析と評価の境目がわからない…」と混乱しがちです。この記事では、3つのステップの違いを明確に整理して、試験で迷わず正解できるレベルまで解説します。
📊 リスクアセスメントの3ステップ
| ステップ | やること | アウトプット |
|---|---|---|
| ① 特定 | リスクを洗い出す | リスク一覧(どんなリスクがあるか) |
| ② 分析 | リスクの大きさを算定する | リスク値(発生確率×影響度) |
| ③ 評価 | 対策の必要性・優先順位を判断 | 対策が必要なリスクの優先順位 |
解説
リスクアセスメントは、情報セキュリティマネジメントの中核となるプロセスです。ISMSを構築・運用する際には、まずリスクアセスメントを行って「どんなリスクがあり、どのリスクに対策すべきか」を明らかにします。
リスクアセスメントは「リスク特定」「リスク分析」「リスク評価」の3つのステップで構成されています。この3つの違いを正確に理解することが、試験対策のポイントです。
ステップ1:リスク特定
リスク特定は、組織にどんなリスクがあるかを洗い出すステップです。
具体的には、まず守るべき情報資産(顧客データ、社内システム、従業員情報など)を洗い出し、それぞれの資産に対してどんな脅威(サイバー攻撃、自然災害、人為的ミスなど)があるかを特定します。さらに、その脅威が実際に起こりうる原因となる脆弱性(パッチ未適用、パスワードの使い回し、教育不足など)も洗い出します。
このステップでは「どのくらい危険か」は考えません。とにかく「何があるか」をリストアップすることが目的です。
💡 リスク特定のポイント
やること:情報資産、脅威、脆弱性の洗い出し
問い:「どんなリスクがあるか?」
アウトプット:リスク一覧表
例:「顧客データベースに対して、SQLインジェクション攻撃のリスクがある」
ステップ2:リスク分析
リスク分析は、特定したリスクの大きさを算定するステップです。
リスクの大きさは、一般的に「発生確率(起こりやすさ)」と「影響度(起こった場合の被害の大きさ)」の掛け算で表します。
例えば、「SQLインジェクション攻撃」というリスクについて、「発生確率:中(3点)」「影響度:大(5点)」と評価すれば、リスク値は「3×5=15点」となります。このように数値化することで、リスク同士を比較できるようになります。
分析手法には、数値で算定する定量的分析と、「高・中・低」などのレベルで評価する定性的分析があります。実務では両方を組み合わせることが多いですが、試験では「リスク分析=リスクの大きさを算定すること」と覚えておけば十分です。
📌 リスク分析のポイント
やること:リスクの発生確率と影響度を算定
問い:「そのリスクはどのくらい大きいか?」
アウトプット:リスク値(リスクレベル)
計算式:リスク値 = 発生確率 × 影響度
ステップ3:リスク評価
リスク評価は、分析結果をもとに対策の必要性と優先順位を判断するステップです。
リスク分析で算出したリスク値を、あらかじめ決めておいた「リスク基準(受容可能なリスクの上限)」と比較します。リスク基準を超えているリスクは「対策が必要」、基準内に収まっているリスクは「受容可能(対策不要)」と判断します。
また、対策が必要なリスクが複数ある場合は、リスク値の大きさやビジネスへの影響などを考慮して、対策の優先順位を決めます。
📝 リスク評価のポイント
やること:リスク基準との比較、優先順位付け
問い:「そのリスクに対策すべきか?どの順番で対策すべきか?」
アウトプット:対策が必要なリスクのリスト(優先順位付き)
判断基準:リスク基準(あらかじめ組織が定めた許容ライン)
3ステップの違いを一言で整理
「3つもあって覚えるのが大変そう…」と感じた人も多いのではないでしょうか。
ここで割り切って考えましょう。試験で問われるのは「各ステップで何をするか」だけです。以下の一言フレーズを覚えておけば、選択肢で迷うことはありません。
📊 3ステップの覚え方
| ステップ | 一言で言うと |
|---|---|
| 特定 | 「何がある?」を洗い出す |
| 分析 | 「どのくらい大きい?」を算定する |
| 評価 | 「対策すべき?」を判断する |
リスクアセスメントの後はリスク対応
リスクアセスメントで「対策すべきリスク」が決まったら、次はリスク対応を行います。リスク対応とは、特定したリスクに対してどのような措置を取るかを決めて実行することです。
リスク対応には4つの選択肢があります。
📊 リスク対応の4つの選択肢
| 対応方法 | 内容 | 例 |
|---|---|---|
| リスク低減 | 対策を講じてリスクを小さくする | ファイアウォール導入、暗号化 |
| リスク回避 | リスクの原因となる活動をやめる | 危険なサービスの利用停止 |
| リスク移転 | リスクを他者に移す | 保険加入、外部委託 |
| リスク保有 | リスクを受け入れて何もしない | 対策コストが被害額を上回る場合 |
注意点として、リスク対応はリスクアセスメントには含まれません。リスクアセスメントは「特定→分析→評価」の3ステップで完結し、その結果を受けてリスク対応を行う、という関係です。試験では「リスクアセスメントに含まれるものはどれか」という形式で出題されることがあるので、この区別は重要です。
⚠️ 試験での注意点
リスクアセスメント = 特定 + 分析 + 評価(この3つだけ)
リスク対応(低減・回避・移転・保有)は、リスクアセスメントの「後」に行うものであり、リスクアセスメントには含まれません。選択肢に「リスク低減」「リスク回避」などが出てきたら、それはリスク対応であってリスクアセスメントではない、と判断しましょう。
試験ではこう出る!
リスクアセスメントは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで頻出です。以下のポイントを確実に押さえておきましょう。
【頻出キーワード】
- リスクアセスメント = 特定 + 分析 + 評価
- 特定:リスクを洗い出す(情報資産・脅威・脆弱性)
- 分析:リスクの大きさを算定する(発生確率×影響度)
- 評価:対策の必要性・優先順位を判断する
- リスク対応(低減・回避・移転・保有)はリスクアセスメントに含まれない
試験問題で「リスクを洗い出し、その大きさを分析し、対策の要否を判断するプロセス」といった記述があれば、それは「リスクアセスメント」に関する記述です。
📝 IPA試験での出題パターン
リスクアセスメントの問題は、「リスクアセスメントに含まれるステップとして適切なものを選べ」「リスク分析で行う活動として適切なものを選べ」といった形式が多いです。特定・分析・評価の違いを問う問題や、リスクアセスメントとリスク対応の区別を問う問題も頻出です。「特定=洗い出し」「分析=算定」「評価=判断」というキーワードで覚えておくと、選択肢を絞りやすくなります。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. リスクアセスメントに関する説明として、最も適切なものはどれでしょうか?
- A. リスクの特定・分析・評価を行い、対策すべきリスクとその優先順位を明らかにするプロセス
- B. 特定したリスクに対して、低減・回避・移転・保有のいずれかの対応を決定し実行するプロセス
- C. セキュリティインシデントが発生した際に、被害を最小限に抑えるための緊急対応を行うプロセス
正解と解説を見る
正解:A
解説:
リスクアセスメントは、「リスク特定」「リスク分析」「リスク評価」の3つのステップで構成されるプロセスです。まずリスクを洗い出し(特定)、その大きさを算定し(分析)、対策の必要性と優先順位を判断します(評価)。リスクアセスメントの結果を受けて、次のステップとしてリスク対応を行います。
選択肢Bは「リスク対応」の説明です。リスク対応はリスクアセスメントの後に行うものであり、リスクアセスメント自体には含まれません。選択肢Cは「インシデント対応(インシデントレスポンス)」の説明であり、リスクアセスメントとは異なる活動です。
