リスク基準・リスクアセスメント・リスク対応を組み合わせた科目B形式の総合問題です。SG試験での判断プロセスと選択肢の切り方を実戦レベルで解説します。

sg sg-security-management risk_assessment isms

まず結論

  • 科目Bは「流れ」と「判断の一貫性」を見る問題
  • 迷ったら「基準 → 評価 → 対応」が正しいかで切る

直感的な説明

この問題はこう考えます👇

① 何を基準にしているか
② リスクは大きいか小さいか
③ 対応はそれに合っているか

👉
この3つだけでほぼ解ける

ケース(本番レベル)

ある企業A社では、顧客情報を扱う新システムの導入にあたり、リスクアセスメントを実施した。

A社では、あらかじめ次のリスク基準(受容基準)を定めている。

  • 機密性に関わるリスクは原則として受容しない
  • 業務効率に関する軽微なリスクは受容可能とする

リスクアセスメントの結果、次のリスクが特定された。

① 外部からの不正アクセスにより顧客情報が漏えいするリスク
② システム障害により一時的に業務が停止するリスク(影響は軽微)
③ 社内担当者の操作ミスによるデータ破損リスク

A社はこれに対して次の対応を検討した。

ア:多要素認証を導入する
イ:障害発生時は復旧対応とし、特別な対策は行わない
ウ:重要データのバックアップを定期的に取得する
エ:システム運用を外部業者に委託する

問題①(基準の理解)

リスク①に対する判断として最も適切なものはどれか?

答えと解説を見る **対応が必要(受容不可)** 👉 ポイント 機密性リスク → 原則受容しない 👉 この時点で 「受容」は即NG

問題②(対応の分類)

選択肢ア・ウのリスク対応として最も適切な組み合わせはどれか?

答えと解説を見る - ア(多要素認証)→ **低減** - ウ(バックアップ)→ **低減** 👉 どちらもリスクを小さくしている

問題③(受容の判断)

リスク②に対する対応イは適切か?

答えと解説を見る **適切** 👉 ポイント 軽微な業務影響 → 基準内 → 受容可能 👉 「何もしない=不適切」と思わせるのがひっかけ

問題④(移転の理解)

選択肢エの対応として最も適切な説明はどれか?

答えと解説を見る **移転** 👉 ポイント 外部に任せる → 移転 👉 注意 責任は残る(ここ重要)

問題⑤(総合判断:最重要)

A社の対応方針として最も適切なものはどれか?

答えと解説を見る **適切** 👉 理由 - リスク①(機密性)→ 低減(ア)で対応 - リスク②(軽微)→ 受容(イ) - リスク③(データ破損)→ 低減(ウ) 👉 基準に沿って判断されている 👉 SG試験の核心 **リスクの種類と大きさに応じて対応を変えている**

まとめ(試験直前用)

  • 基準 → 評価 → 対応の順序が最重要
  • 機密性リスクは基本NG(受容しない)
  • 軽微リスクは受容もあり
  • 低減=対策、移転=任せる
  • 迷ったら「基準に合っているか」で切る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る