リスクアセスメントはリスクを特定・分析・評価するプロセスです。JIS Q 31000・31010の考え方や準備段階の重要性、SG試験のひっかけポイントを整理します。

sg sg-security-management risk_assessment isms

まず結論

  • リスクアセスメントとは、リスクを特定・分析・評価して優先順位を決めるプロセスです
  • SG試験では「対策を含まない点」と「事前準備の重要性」がよく問われます

直感的な説明

リスクアセスメントは
「危ないところを見つけて、どれから対応すべきか決める作業」です。

ただし実務ではいきなり分析しません。

  • 何を守るのか(情報資産)
  • どこまで許容するのか(基準)

を先に決めてから分析します。

👉
準備がズレると、全部の判断がズレる
ここが試験でも実務でも重要ポイントです。

定義・仕組み

リスクアセスメントは、JISでも次の流れで整理されています。

① 準備(前提条件の設定)

※ここがよく出る

  • 情報資産の洗い出し(情報資産台帳)
  • 評価対象の範囲を決定
  • リスク基準(受容基準)を決める
    • どこまで許容するか
    • 何を優先するか(CIAなど)

👉
JIS Q 31000 の考え方
「リスク判断の基準を先に決める」

② リスク特定

  • 脅威(攻撃・ミス)
  • 脆弱性(弱点)
  • 情報資産(守る対象)

👉
「何が起きる可能性があるか」を洗い出す

③ リスク分析

リスクの大きさを評価

  • 発生確率
  • 影響度

👉
JIS Q 31010
様々な分析手法(定性・定量)がある

④ リスク評価

対応の優先順位を決定

  • 対応すべきリスク
  • 許容できるリスク

👉
ここまでがリスクアセスメント
この後に「リスク対応」が続く

どんな場面で使う?

使う場面

  • ISMSのリスク評価プロセス
  • システム導入前のリスク確認
  • 委託先のセキュリティ評価
  • 情報資産管理の見直し

誤解しやすい場面

  • いきなり対策を考える → ❌準備不足
  • 資産を整理していない → ❌前提が不明確
  • 基準なしで評価 → ❌判断がブレる

よくある誤解・混同

リスクマネジメントとの違い

  • ❌ リスクアセスメント=全体活動
  • ⭕ 評価まで(対策は含まない)

👉 判断基準
「実行しているか」ならマネジメント

SG試験のひっかけ①(超重要)

  • 「リスクを分析して対策を決定する」→ ❌
  • 「リスクの優先順位を決める」→ ⭕

👉
対策が入ったらアウト

SG試験のひっかけ②(準備)

  • 「基準を決めずに評価」→ ❌
  • 「受容基準を定める」→ ⭕

👉
準備工程がある選択肢は正解になりやすい

SG試験のひっかけ③(資産)

  • 「脅威だけ考える」→ ❌
  • 「資産・脅威・脆弱性をセットで考える」→ ⭕

まとめ(試験直前用)

  • リスクアセスメント=特定・分析・評価
  • 対策は含まれない(ここ最重要)
  • 準備(資産整理・基準設定)が前提
  • JISでは「基準を先に決める」が重要
  • 迷ったら「まだ対策前か?」で切る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る