最終更新日:2026年6月6日
sg sg-security-management risk_assessment isms
まず結論
- リスクアセスメントとは、リスクを特定・分析・評価して優先順位を決めるプロセスです
- SG試験では「対策を含まない点」と「事前準備の重要性」がよく問われます
直感的な説明
リスクアセスメントは
「危ないところを見つけて、どれから対応すべきか決める作業」です。
ただし実務ではいきなり分析しません。
- 何を守るのか(情報資産)
- どこまで許容するのか(基準)
を先に決めてから分析します。
👉
準備がズレると、全部の判断がズレる
ここが試験でも実務でも重要ポイントです。
定義・仕組み
公式: JVN iPedia(脆弱性対策情報):公式: JVN iPedia(脆弱性対策情報) リスクアセスメントは、JISでも次の流れで整理されています。
① 準備(前提条件の設定)
※ここがよく出る
- 情報資産の洗い出し(情報資産台帳)
- 評価対象の範囲を決定
- リスク基準(受容基準)を決める
- どこまで許容するか
- 何を優先するか(CIAなど)
👉
JIS Q 31000 の考え方
「リスク判断の基準を先に決める」
② リスク特定
- 脅威(攻撃・ミス)
- 脆弱性(弱点)
- 情報資産(守る対象)
👉
「何が起きる可能性があるか」を洗い出す
③ リスク分析
リスクの大きさを評価
- 発生確率
- 影響度
👉
JIS Q 31010
様々な分析手法(定性・定量)がある
SG試験で頻出:リスク分析手法4つの切り分け
SG試験では、次の4つを説明文と対応づける問題がよく出ます。
| 手法 | キーワード | 選択肢での見分け方 |
|---|---|---|
| ベースラインアプローチ | 公開基準・ガイドライン・チェックリスト・ギャップ分析 | 「公表されている基準」「一定レベルを設定」「現状管理策との比較」があればこれ |
| 詳細リスク分析 | 資産価値・脅威・脆弱性・セキュリティ要件の個別識別 | 「情報資産ごとに詳細評価」「資産単位で分析」はこれ |
| 組合せアプローチ | 複数手法の併用 | 「長所を生かして組み合わせる」「効率と精度の両立」はこれ |
| 非公式アプローチ | 担当者の経験・判断に依存 | 「組織や担当者の判断中心」「標準化されていない」はこれ |
👉 判断ポイント
まず「公開基準との比較か」を見る。該当すればベースライン。
違うなら「資産ごとの詳細識別か」を見て、詳細リスク分析かどうかを切り分けます。
④ リスク評価
対応の優先順位を決定
- 対応すべきリスク
- 許容できるリスク
👉
ここまでがリスクアセスメント
この後に「リスク対応」が続く
JIS定義ベースでのリスク特定・分析・評価・対応の違い
SG試験では、リスクマネジメント用語を定義文で切り分ける問題が出ます。
| 用語 | 定義文で出やすい表現 | 判断ポイント |
|---|---|---|
| リスク特定 | 起こり得るリスクを洗い出して文章化する | まずリスクを見つけて書き出す段階 |
| リスク分析 | リスクの性質や原因・影響を見て大きさを見積もる | 発生可能性・影響度などから大きさを考える段階 |
| リスク評価 | 見積もったリスクを判断基準に照らす | 受容できるか、対応が必要かを判断する段階 |
| リスク対応 | 管理策などを選び、リスクの扱いを決める | 対策を決める段階 |
試験では、リスクの性質を調べて大きさを見積もる表現があれば、リスク分析を疑います。
一方で、基準に照らして受け入れ可否を決める表現ならリスク評価、管理策や回避・低減・移転・受容を選ぶ表現ならリスク対応です。
どんな場面で使う?
使う場面
- ISMSのリスク評価プロセス
- システム導入前のリスク確認
- 委託先のセキュリティ評価
- 情報資産管理の見直し
誤解しやすい場面
- いきなり対策を考える → ❌準備不足
- 資産を整理していない → ❌前提が不明確
- 基準なしで評価 → ❌判断がブレる
よくある誤解・混同
リスクマネジメントとの違い
- ❌ リスクアセスメント=全体活動
- ⭕ 評価まで(対策は含まない)
👉 判断基準
「実行しているか」ならマネジメント
SG試験のひっかけ①(超重要)
- 「リスクを分析して対策を決定する」→ ❌
- 「リスクの優先順位を決める」→ ⭕
👉
対策が入ったらアウト
SG試験のひっかけ②(準備)
- 「基準を決めずに評価」→ ❌
- 「受容基準を定める」→ ⭕
👉
準備工程がある選択肢は正解になりやすい
SG試験のひっかけ③(資産)
- 「脅威だけ考える」→ ❌
- 「資産・脅威・脆弱性をセットで考える」→ ⭕
確認問題(SG試験対策)
リスクアセスメントの説明として最も適切なものはどれか。
- ア. 脅威の有無を感覚だけで判断し、記録は残さない。
- イ. 資産・脅威・脆弱性・影響等を整理し、リスクの大きさを評価して対応判断につなげる。
- ウ. 対応策を先に決めてから、後でリスクを作る手順である。
- エ. 年1回の形式的チェックだけで十分で、環境変化は考慮しない。
▶ クリックして答えと解説を見る(ここを開く)
正解:イ
解説
- ア:根拠ある評価と記録が必要です。
- イ:リスク評価の目的と手順を正しく表しています。
- ウ:順序が逆で、合理性を欠きます。
- エ:変化に応じた見直しが不可欠です。
👉 判断ポイント
リスクアセスメントは「対応のための根拠作り」。
まとめ(試験直前用)
- リスクアセスメント=特定・分析・評価
- 対策は含まれない(ここ最重要)
- 準備(資産整理・基準設定)が前提
- JISでは「基準を先に決める」が重要
- 迷ったら「まだ対策前か?」で切る