基本情報 平成31年度 春期 問41：テクノロジ系に関する問題

答えは b です。

「リスクレベル」は、「結果の大きさ（被害）×起こりやすさ」で表されるリスクの大きさのこと。

例えば「火事は被害大きいけど滅多に起きない」「ペン落とすのは被害小さいけどよく起こる」——リスクは大きさだけでも頻度だけでも語れません。両方を組み合わせるのがポイント。

👉 覚え方：リスクレベル＝ヤバさ × 起こりやすさ。

ほかの選択肢：a 弱点＝脆弱性／c 優先順位＝リスク順位／d 評価基準＝リスク基準。

なぜこれが正解か

正解は b。JIS Q 27000:2014の定義で「リスクレベル」は、結果（consequence）とその起こりやすさ（likelihood）の組合せとして表現されるリスクの大きさとされる。リスクアセスメントの中心概念で、影響度と発生確率の積で評価される。

各選択肢の解説

• a 脅威によって付け込まれる弱点＝脆弱性（vulnerability）の定義。
• c 対応すべきリスクに付与する優先順位＝リスク順位付け（risk prioritization）の概念で、リスクレベルとは別。
• d リスク重大性を評価するための目安となる条件＝リスク基準（risk criteria）の定義。

覚え方・ひっかけ注意

JIS Q 27000用語は紛らわしいものが多いので整理：

• リスク＝目的に対する不確かさの影響
• リスクレベル＝結果×起こりやすさ
• リスク基準＝重大性評価の目安
• 脅威＝損害を引き起こすインシデントの潜在的原因
• 脆弱性＝脅威に付け込まれる弱点

リスクレベル＝「大きさ」、リスク基準＝「ものさし」と区別。

理論的背景

リスクマネジメントの国際規格ISO 31000（JIS Q 31000）はリスクを「目的に対する不確かさの影響」と定義し、ISO/IEC 27001／JIS Q 27001（情報セキュリティマネジメントシステム）はこれを情報セキュリティ文脈に適用する。リスクアセスメントは①リスク特定②リスク分析（リスクレベル算定）③リスク評価（基準と比較）の3段階。

リスクレベルの算定方法

• 定性的手法：影響度（1-5）×発生可能性（1-5）のマトリクスで5段階評価
• 半定量的手法：影響度を金額、可能性を年間頻度で数値化
• 定量的手法：ALE（Annualized Loss Expectancy）= SLE × ARO（単一損失額×年間発生回数）。FAIR（Factor Analysis of Information Risk）等の体系もある

リスク対応の4区分

• 回避（Avoid）：リスク源を取り除く（事業撤退等）
• 低減（Mitigate）：管理策で発生確率／影響を下げる
• 共有／移転（Share／Transfer）：保険、アウトソース
• 受容（Accept）：基準内なら受け入れる

本batchの別問「リスクファイナンシング」は共有／移転（保険）に該当。

実務での使われ方

• ISMS構築：ISO/IEC 27001:2022認証取得時、附属書Aの93管理策からリスクレベルに応じて選択
• リスク登録簿（Risk Register）：リスクID、説明、レベル、対応策、責任者を一元管理
• 継続的改善（PDCA）：年次でリスク再評価
• NIST CSF／SP 800-30：米国系統制でも同様の枠組み

試験での位置づけ

基本情報・応用情報・情報処理安全確保支援士のマネジメント分野で必出。直近はサイバーセキュリティ経営ガイドライン（経産省）、サプライチェーンリスク、ゼロトラストとの連動論点も出題。

選択肢の発展補足

脆弱性はCVE（Common Vulnerabilities and Exposures）でID管理、深刻度はCVSS（Common Vulnerability Scoring System）で標準スコア化（v3.1／v4.0）。脅威はSTIX／TAXIIで情報共有。これらをリスク評価に組込むのが現代SOC／CSIRTの標準実務。