情報セキュリティマネジメント試験 過去問解説
リスクアセスメントとは?情報セキュリティマネジメント試験 令和7年度 科目A 問1を解説
情報セキュリティマネジメント試験 令和7年度 科目A 問1は、リスクアセスメントに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
JIS Q 31000:2019(リスクマネジメント-指針)におけるリスクマネジメントプロセスに関する記述のうち,適切なものはどれか。
この問題の出題ポイント
- リスクアセスメントの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- アリスク対応の意義は,プロセスの設計,実施及び結末の質及び効果を保証し,改善することである。
- イリスク特定の意義は,リスクに対処するための選択肢を選定し,実施することである。
- ウリスク評価の意義は,組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し,認識し,記述することである。
- エリスク分析の意義は,必要に応じてリスクのレベルを含め,リスクの性質及び特徴を理解することである。正解
正解
エ: リスク分析の意義は,必要に応じてリスクのレベルを含め,リスクの性質及び特徴を理解することである。
解説
JIS Q 31000のリスクアセスメントは「リスク特定(発見・認識・記述)→リスク分析(性質・特徴やリスクレベルの理解)→リスク評価(分析結果と基準を比較し対応の要否を決定)」の順で進み,その後にリスク対応(対処の選択肢の選定と実施)が続く。エはリスク分析の意義を正しく述べているため正解。各プロセスの目的を取り違えていない記述を選ぶ点が要点である。
なぜ他の選択肢が違うのか
ア
「プロセスの設計,実施及び結末の質及び効果を保証し改善する」のはモニタリング及びレビューの意義であり,リスク対応の説明ではないため誤り。
イ
「リスクに対処するための選択肢を選定し実施する」のはリスク対応の意義であり,リスク特定の説明ではないため誤り。
ウ
「リスクを発見し,認識し,記述する」のはリスク特定の意義であり,リスク評価の説明ではないため誤り。
エ(正解)
リスクの性質・特徴を理解し必要に応じてリスクレベルを含めて把握するのはリスク分析の意義そのものであり,正しい。
解き方の整理
リスクアセスメントの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。