リスクアセスメントとは？

詳細解説

リスクアセスメント（Risk Assessment）は、組織の情報資産（データ・システム・人・施設）に対して「どのような脅威があるか」「どのような脆弱性があるか」「それが実現した場合の影響度はどの程度か」を体系的に分析・評価し、対策の優先順位を決めるプロセスです。情報セキュリティにおけるリスクの定式化は「リスク = 脅威の可能性（発生頻度） × 脆弱性の大きさ × 影響度（損失額）」で表現されます。リスクアセスメントのプロセスはISO/IEC 27005に従い「資産の特定→脅威の特定→脆弱性の特定→リスクの算定→リスクの評価（許容可能か判断）→リスク対応方針の決定」の順で実施します。リスク対応の4つの選択肢はリスク回避（リスク源となる活動を止める）・リスク低減（対策を講じてリスクを下げる）・リスク移転（サイバー保険で損失を転嫁する）・リスク受容（コスト対効果でそのまま許容する）です。定量的リスク評価はリスクを金額で表現（年間予想損失額=ALE: Annual Loss Expectancy）し、定性的リスク評価は「高・中・低」などのレベルで表現します。リスクアセスメントはISMS（ISO 27001）の中核プロセスであり、定期的（年1回以上）に実施することが求められます。ITパスポート試験では「リスクの定義」「4つのリスク対応選択肢」「ISMSでの位置づけ」が頻出です。

ITパスポートでの出題ポイント

• 1リスク = 脅威の可能性 × 脆弱性 × 影響度
• 24つの対応：回避・低減・移転（保険）・受容
• 3ISMSの中核プロセスとして定期的実施が義務
• 4定量的評価（金額）と定性的評価（高・中・低）の2手法

関連用語