応用情報技術者試験 応用情報技術者試験 令和4年度春期 午前 問43: JIS Q 27000:2019（情報セキュリティマネジメントシステム－用語）における “リスクレベル” の定義はどれか。

問題本文

JIS Q 27000:2019（情報セキュリティマネジメントシステム－用語）における “リスクレベル” の定義はどれか。

選択肢

• ア.脅威によって付け込まれる可能性のある，資産又は管理策の弱点
• イ.結果とその起こりやすさの組合せとして表現される，リスクの大きさ
• ウ.対応すべきリスクに付与する優先順位
• エ.リスクの重大性を評価するために目安とする条件

正解

イ. 結果とその起こりやすさの組合せとして表現される，リスクの大きさ

解説

リスクレベルとは，リスクの“大きさ”を表す指標であり，JIS Q 27000:2019では「結果(影響の大きさ)とその起こりやすさ(発生確率)の組合せとして表現されるリスクの大きさ」と定義されている。よって，この定義をそのまま述べた“イ”が正解である。リスク分析では影響度と発生確率を掛け合わせて大きさを評価する考え方と対応している。

選択肢ごとの解説

• ア.脅威に付け込まれる弱点は“ぜい弱性(脆弱性)”の定義であり，リスクレベルではない。
• イ.結果(影響)と起こりやすさ(確率)の組合せで表すリスクの大きさが“リスクレベル”の定義そのものなので正しい。
• ウ.対応すべきリスクに付ける優先順位は，リスク評価やリスク対応の段階で決める事項であり，リスクレベルの定義ではない。
• エ.リスクの重大性を評価する目安となる条件は“リスク基準”の説明であり，リスクレベルとは別の用語である。