最終更新日:2026年5月10日
sg risk security-management
リスクレベルとは?影響度と発生確率で考えるリスクの大きさ【SG試験】
まず結論
リスクレベルとは、リスクの大きさを表すものです。
情報セキュリティマネジメント試験では、
結果の大きさ × 起こりやすさ
の組合せとして考えると理解しやすいです。
たとえば、
- 起きたら大きな損害になる
- 発生する可能性も高い
このような場合は、リスクレベルが高いと判断します。
試験では、
「リスクの大きさ」を聞かれているのか
「リスクの原因」や「判断基準」を聞かれているのか
を切り分けることが大切です。
直感的な説明
リスクレベルは、危険度のメーターのようなものです。
同じ「情報漏えいの可能性」でも、状況によって重要度は変わります。
たとえば、次の2つを比べてみます。
| 状況 | リスクレベルの考え方 |
|---|---|
| 個人メモが漏れる可能性がある | 影響は比較的小さい |
| 顧客情報が大量に漏れる可能性がある | 影響が大きい |
さらに、発生しやすさも関係します。
| 状況 | リスクレベルの考え方 |
|---|---|
| ほとんど起きない | リスクは小さめ |
| 頻繁に起きそう | リスクは大きめ |
つまり、リスクレベルは、
どれくらい困るか
どれくらい起こりそうか
を組み合わせて見ます。
定義・仕組み
リスクレベルは、リスクを評価するときに使う考え方です。
一般的には、次のように整理できます。
| 用語 | 意味 |
|---|---|
| 結果 | リスクが現実になったときの影響 |
| 起こりやすさ | リスクが発生する可能性 |
| リスクレベル | 結果と起こりやすさの組合せで表すリスクの大きさ |
試験では、次の選択肢が出たらリスクレベルを思い出します。
結果とその起こりやすさの組合せとして表現される,リスクの大きさ
この表現が出たら、リスクレベルの定義として判断できます。
どんな場面で使う?
リスクレベルは、リスク対応の優先順位を考えるときに使います。
すべてのリスクに同じように対応するのは現実的ではありません。
そのため、
- リスクを洗い出す
- 影響度と発生可能性を評価する
- リスクレベルを決める
- 優先して対応するものを選ぶ
という流れで考えます。
たとえば、次のようなイメージです。
| 影響度 | 発生可能性 | リスクレベル |
|---|---|---|
| 大 | 高 | 高い |
| 大 | 低 | 中程度 |
| 小 | 高 | 中程度 |
| 小 | 低 | 低い |
リスクレベルが高いものほど、早めに対策を検討する必要があります。
よくある誤解・混同
リスクレベルと脆弱性を混同しない
脆弱性は、弱点のことです。
たとえば、
- パスワードが弱い
- OSの更新がされていない
- アクセス権限の設定が甘い
といったものです。
一方、リスクレベルは、リスクの大きさを表します。
| 用語 | 試験での見分け方 |
|---|---|
| 脆弱性 | 資産や管理策の弱点 |
| リスクレベル | 結果と起こりやすさで表すリスクの大きさ |
「弱点」と書かれていたら、リスクレベルではなく脆弱性を疑います。
リスクレベルとリスク基準を混同しない
リスク基準は、リスクの重大性を評価するための目安です。
たとえば、
- どのレベル以上なら対応が必要か
- どこまでなら受け入れられるか
- 何を基準に重大と判断するか
を決めるための条件です。
一方、リスクレベルは、評価した結果としてのリスクの大きさです。
| 用語 | 意味 |
|---|---|
| リスクレベル | リスクの大きさ |
| リスク基準 | リスクを評価するための目安 |
「目安」「条件」「基準」と出たら、リスク基準を疑います。
リスクレベルと優先順位を混同しない
リスクレベルが高いものは、対応の優先度も高くなりやすいです。
ただし、リスクレベルそのものは、優先順位ではありません。
| 用語 | 意味 |
|---|---|
| リスクレベル | リスクの大きさ |
| 優先順位 | どれから対応するかの順番 |
試験で、
対応すべきリスクに付与する優先順位
のような説明が出た場合、リスクレベルの定義としては不適切です。
試験での切り分けポイント
リスクレベルの問題では、選択肢の中の言葉に注目します。
| キーワード | 判断 |
|---|---|
| 結果、起こりやすさ、リスクの大きさ | リスクレベル |
| 弱点、ぜい弱性、管理策の弱さ | 脆弱性 |
| 目安、条件、基準 | リスク基準 |
| 優先順位、対応順 | 優先度の話 |
特に、
結果と起こりやすさの組合せ
という表現は、リスクレベルを選ぶ強い手がかりになります。
まとめ(試験直前用)
- リスクレベルは、リスクの大きさを表す
- 基本は、結果の大きさ × 起こりやすさで考える
- 「弱点」は脆弱性、「目安」はリスク基準と切り分ける
リスクレベルは、リスク対応を考える前段階で使う重要な考え方です。
試験では、難しく考えすぎず、
どれくらい困るか × どれくらい起こりそうか
で判断すると、選択肢を切りやすくなります。