ITパスポートの過去問
平成30年度 春期
テクノロジ系 問70

リスク分析は以下の観点から行います。
・どんな情報があり、どれくらい重要か。
・どのように失われる恐れがあるか、失われた場合の損害の大きさはどの程度か。
上記の観点で分析し、重要かつ失われた場合の損害が大きいものを優先的に対応します。
全てのリスクを対応すると費用が嵩むため、軽微なものはそのままにすることもあります。

１．不正解です。
脅威と脆弱性が同じであれば、資産価値が小さい程リスクが小さくなります。
例えば、顧客の住所・氏名・年齢が漏えいした場合と顧客の足のサイズの情報が漏えいした場合では後者の方が損害が小さく済むためリスクが小さいと言えます。
(足のサイズのみから個人を特定することは不可能であることから資産価値が低いと考えられます)

２．不正解です。
全てのリスクを詳細に分析し、対応することは時間も費用も掛かります。
そのため、軽微なものについては詳細に分析しない事も考えられます。
先ほどの例で言えば、顧客の足のサイズの情報が漏えいしないように時間とお金をかけて検討・対応する必要はないでしょう。

３．不正解です。
情報の価値は媒体によって変わりません。
個人情報は電子データでも紙媒体でも同じであるためどちらかを対象から外すという事はありません。

４．正解です。
同じ個人情報を扱う会社でも、電子データのみで扱うか、紙媒体のみで扱うかによってリスクは異なります。
そのため、組織に適した分析を行います。

リスク分析は、リスクアセスメントのプロセスの１つで、特定されたリスクに対し、その発生度や発生時の損害の大きさなどを調べるプロセスです。


１．脅威と脆弱性のレベルが同じであれば、その資産価値が大きいほどリスク値は大きくなります。
適切ではありません。

２．規模や重要度の高さに応じて分析をレベルを詳細に行うかどうかを決めます。適切ではありません。

３．紙媒体もISMSの対象です。適切ではありません。

４．業界や業種、組織に応じて適切なリスク分析手法を用います。正解です。

したがって、４が正解です。

選択肢を一つずつ見ていきましょう。

１．資産価値が小さいほどリスク値は小さくなります。
よって、誤りです。

２．リスク分析はシステムの規模や重要度によって実施するかどうかを決めます。
すべてのリスクを分析しなければならないわけではないため、誤りです。

３．リスク分析の対象には紙媒体のデータも含まれます。
よって、誤りです。

４．リスク分析は対象とする組織によって適切な手法を用います。
よって、正解です。