令和3年度問91マネジメント系

ITパスポート令和3年度問91：セキュリティマネジメントに関する問題

次の作業a～dのうち，リスクマネジメントにおける，リスクアセスメントに含まれるものだけを全て挙げたものはどれか。 a 脅威や脆弱性などを使って，リスクレベルを決定する。 b リスクとなる要因を特定する。 c リスクに対してどのように対応するかを決定する。 d リスクについて対応する優先順位を決定する。

aa, b
ba, b, d正答
ca, c, d
dc, d

正答：Ba, b, d

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは b（a, b, d） です。

「リスクアセスメント」とは、リスクの“健康診断”だと思ってください。お医者さんがやることに似ています。

まず①どんな悪いこと（リスク）がありそうか見つけて（b）、②それがどれくらいヤバいか調べて点数をつけて（a）、③どれから手当てするか順番を決める（d）。ここまでが診断です。

じゃあcは？ c「どう対応するか決める」は、診断のあとに“治療方針を決める”段階。これは別物（リスク対応）なので含みません。

👉 覚え方：アセス＝「見つける→測る→順番つけ」まで。「どう直すか」は次の段階。

だからc抜きの a・b・d で b が正解。

標準試験対策の基準レベル

なぜこれが正解か

正解は b（a, b, d）。リスクアセスメントは「リスク特定→リスク分析→リスク評価」の3工程からなる。

b リスク要因の特定＝リスク特定
a 脅威・脆弱性からリスクレベルを決定＝リスク分析
d 対応の優先順位を決定＝リスク評価

この3つが「アセスメント（評価査定）」の範囲。

各選択肢の解説

c 「どう対応するか決める」は、アセスメントの後工程である「リスク対応」（低減・移転・回避・保有の選択）。アセスメントには含まれない。

覚え方・ひっかけ注意

アセスメント＝特定・分析・評価の“前半3つ”。c（対応の決定）が入った選択肢は全部ワナ。「risk assessment」と「risk treatment（対応）」は別工程と覚える。a・c・dや c・d を選ばせる引っかけが定番。

上級誤答論破・背景理論まで深掘り

理論的背景

リスクマネジメントの国際標準であるISO 31000（JIS Q 31000）とISMS規格ISO/IEC 27001（JIS Q 27001）では、リスクマネジメントの全体プロセスを「コミュニケーション→リスクアセスメント→リスク対応→モニタリング・レビュー」の循環として定義している。このうちリスクアセスメントはリスク特定・リスク分析・リスク評価という3段階の下位工程で構成される。

リスク特定（Risk Identification）：保護すべき情報資産とそれに対する脅威・脆弱性を洗い出す（選択肢b）。資産台帳の整備や脅威カタログの参照が実務手段となる。
リスク分析（Risk Analysis）：特定したリスクの発生可能性と影響度を評価し、リスクレベル（リスク値）を算定する（選択肢a）。定量的分析では「年間予想損失額（ALE）= 単一事象での損失（SLE）× 年間発生頻度（ARO）」という数式が使われ、定性的分析では高・中・低マトリクスで評価する。
リスク評価（Risk Evaluation）：分析結果を受容基準と照らし合わせ、対応の優先順位を決める（選択肢d）。受容基準を超えるリスクのみが次工程に送られる。

選択肢cの「どう対応するか決める」はアセスメントの後工程であるリスク対応（Risk Treatment）に相当し、低減・移転・回避・保有の4択から手段を選ぶ段階であるため、アセスメントには含まれない。

実務での使われ方

ISMSを取得・維持している組織では、定期的（通常年1回以上）にリスクアセスメントを実施し、その結果を「リスク対応計画」と「適用宣言書（Statement of Applicability, SoA）」に落とし込む。SoAにはISO/IEC 27001附属書Aの管理策（93項目）のうちどれを採用するかを記載し、採用しない管理策については除外理由を明示する義務がある。

金融機関では金融庁の「金融機関等のシステム障害に関する分析レポート」を踏まえたリスクアセスメントが求められ、IT・サイバーリスクを資本計画（リスクアペタイト）と連動させて管理する。製造業では機能安全規格IEC 62443（産業制御システム）やISO 26262（車載）でも類似のリスクアセスメント工程が規定されており、業種横断的な共通概念となっている。

試験での位置づけ

ITパスポートのセキュリティマネジメント分野において本問は最頻出テーマの一つ。近年の出題傾向として「アセスメントとトリートメントの境界線」を問う形式が定着しており、選択肢に「対応策を選ぶ」「どう対処するか決める」などの語が含まれる場合は誤りと判断できる。

上位資格の情報セキュリティマネジメント試験（SG）では、リスクアセスメント結果を踏まえた「残留リスクの承認」「PDCAによる再アセスメントの頻度設定」まで問われる。基本情報技術者（FE）では、ALE計算式や定量・定性分析の使い分け、受容基準設定のロジックが出題範囲に含まれる。

選択肢の発展補足

選択肢a（脅威・脆弱性でリスクレベルを決定）：リスク分析に相当。脅威は外部から加わる可能性のある事象（マルウェア感染、不正アクセス等）、脆弱性は資産側の弱点（パッチ未適用、弱いパスワード等）であり、両者の組み合わせで「リスク = 脅威の可能性 × 脆弱性の度合い × 資産価値」として計算する。

選択肢b（リスク要因を特定）：リスク特定に相当。IPA発行の「情報セキュリティ10大脅威」は毎年公表され、リスク特定の参考資料として実務でも広く使われる。2024年版では「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」が上位を占める。

選択肢c（対応の決定）：リスク対応の4分類（低減・移転・回避・保有）はアセスメント後の判断であり、リスク受容基準との比較後に選択する。移転の代表例である「サイバー保険」は近年企業での導入が急増している。

選択肢d（優先順位の決定）：リスク評価に相当。「緊急・重要・通常・受容」などのカテゴリに分類し、経営層への報告資料として用いる。ISO 31000では「リスクマトリクス（確率×影響のヒートマップ）」が評価ツールとして例示されている。

出典・引用について

出典：IPA（情報処理推進機構）公式 ITパスポート試験令和3年度問91／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。