基本情報技術者試験 平成31年度 春期 午前 問41
リスク対応、リスクレベルについての問題。
--------------------------
平成31年度 春期 午前 問41
JIS Q 27000:2014(情報セキュリティマネジメントシステムー用語)における "リスクレベル" の定義はどれか。
ア 脅威によって付け込まれる可能性のある、資産又は管理策の弱点
イ 結果とその起こりやすさの組合せとして表現される、リスクの大きさ
ウ 対応すべきリスクに付与する優先順位
エ リスクの重大性を評価するために目安とする条件
--------------------------
解説
リスクの話は問40 の解説で書いてみた。
リスクレベルは "そのリスクが起きる確率" × "そのリスクが起きた時の被害規模“ で定量的に表すリスクの大きさのこと。
ということで、正解は選択肢イ「結果とその起こりやすさの組合せとして表現される、リスクの大きさ」。
選択肢エ「リスクの重大性を評価するために目安とする条件」は途中まであってそうだけど “条件“ ではない。
起こりそうなリスクを洗い出して一覧にした後には、どのリスクを対策するかの優先順位を決めることになる。その時の指標としてリスクレベルが参考になる。
選択肢ウ「対応すべきリスクに付与する優先順位」はリスクレベルを使ってやることの話。
被害規模だけで対策の優先順位を決めてしまうと、上位には大災害ばかり来ることになる。それら全てに対策できればベストだけど、お金も時間も足りなくなる。
なので、リスクレベルは被害規模と発生確率との掛け算になっている。そこそこの被害が毎日のように起きてるようなら、真っ先に対応すべき。
選択肢ア「脅威によって付け込まれる可能性のある、資産又は管理策の弱点」は脆弱性の説明。脆弱性と脅威がそろったときにリスクが生じる。
"ソフトウェアのバグ" という脆弱性と、"攻撃者" という脅威がそろったときに "不正アクセスによる情報漏洩" といったリスクがでてくる。
脆弱性があってもそれを攻撃する手段がゼロなら、リスクにはならない。
攻撃者がいても脆弱性がゼロなら、リスクにはならない。
どちらかがゼロであることはほとんど無いけれど。
悪い話にばかりリスクという言葉が使われるけれど、良いリスクという考え方もある。
もしかしたら株価が上がって儲かるかもしれない、優秀な PM がプロジェクトに参画して作業効率が上がるかもしれない、といったリスク。
リスクという言葉は不確実性とか振れ幅といったイメージで持っておくとわかりやすくなる。
投資ではリスクがあるからリターンがあると良く言う。
リスク(振れ幅)があるからこそ、良い方に振れたときにリターンが手に入る。
悪いリスク(マイナスのリスク)に対しては
受容、軽減、回避、転嫁の対応パターンがあった。
良いリスク(プラスのリスク)に対しても
受容、強化、活用、共有といった対応パターンがある。
受容はどちらのリスクに対しても存在する。これが午前問題で出たこともあるので、覚えておくと良い。
リスクはあるけど特に備えず起きたら考えよう、はマイナスのリスクにもプラスのリスクにもあり得る対応である。
強化は良いリスクを起きやすくする。
活用は良いリスクを確実に起こるようにする。
共有は良いリスクを有効活用できそうな第三者に権利を渡す。
前後の問題はこちら。