今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。

 

勉強に使ったのはこちら

章の終わりにあるCheck問題に私なりの答えで解答していきます。

 

今回は4.1章：リスクの概念とリスクアセスメントのCheck問題です。

 

【Q1】リスクとは何か。

何らかの事態が発生することに関する不確実性。
リスクの種類には投機的リスクと純粋リスクがある。

 

【Q2】情報リスクの構成要素を挙げよ。

情報資産・脅威・脆弱性の３つ。

 

【Q3】リスクの顕在化による損失にはどのような種類があるか。

直接損失・関節損失・対応費用の３つ。

 

【Q4】リスクアセスメントの目的と効果について述べよ。

組織やシステムに内在するリスクの大きさや影響度を知ることで、効果的なセキュリティ対策プランを導き出すこと。

 

【Q5】リスク分析手法の種類と特徴について述べよ。

①ベースラインアプローチ（簡易リスク分析）
一般に公開背れている基準やガイドライン、チェックリストなどを用いて簡易のリスク分析を行う手法。リスクを構成する要素である情報資産・脅威・脆弱性の洗い出しは行わず、アンケートやチェックリストなどの質問に答えることで、組織や情報システムにおけるセキュリティ上の問題点を洗い出す。
②非公式アプローチ（リスク分析者の知識と経験によるリスク分析）
体系化された方法や基準などは使わず、分析者の知識と経験によって行われるリスク分析手法。分析結果が分析者に大きく依存するため、短期間で非常に信頼性のあt会分析結果が得られる場合もあれば、逆に時間を費やすばかりで稚拙な分析結果しか得られない場合もある。
③詳細リスク分析
情報資産・脅威・脆弱性の洗い出しと評価を行い、そこからリスクの大きさを評価する手法。ベースラインアプローチに比べて多くの時間や手間がかかるが、その分高品質な分析結果を得ることが可能である。
④組み合わせアプローチ
リスク分析の対象となる組織や情報システムの重要度によって、ベースラインアプローチと詳細リスク分析とを組み合わせて行う。

 

【Q6】リスク評価手法の種類と特徴について述べよ。

①定性的評価
リスクの大きさを金額以外（大・中・小などのレベルや相対的な値など）で表す評価手法。
②定量的評価
リスクの大きさを金額で表す評価手法。

 

【Q7】詳細リスク分析・評価のステップと作業の概要について述べよ。

ステップ１：リスク分析範囲の決定
ステップ２：対象とする情報資産の種別の決定
ステップ３：情報資産の洗い出し
ステップ４：情報資産の分類
ステップ５：脅威の洗い出し
ステップ６：脆弱性の洗い出し
ステップ７：リスクの洗い出し
ステップ８：リスクの大きさの評価

 

私が使っているのは2022年版のテキストですが、2023年版も出ています。