リスク管理・リスク対応まとめ｜主要用語を整理【SG試験】

まず結論

このシリーズでは、情報資産を洗い出し、脅威・脆弱性からリスクを考え、対応後の残留リスクまで管理する流れを学びます
SG試験では、リスクを「ゼロにする」発想ではなく、どこまで許容し、どの対応を選ぶかを判断できることが重要です
丸暗記ではなく、対策前か、評価中か、対応後か、責任主体の話かで切り分けます

全体像

リスク管理は、「危ないものを見つける作業」だけではありません。

まず、守る対象である情報資産を整理します。次に、その資産に対してどのような脅威があり、どのような脆弱性があるかを確認します。その結果として起こり得る損害の可能性をリスクとして評価し、基準と比べて対応方針を決めます。

SG試験では、この流れのどこを説明しているかを見分ける問題がよく出ます。

守るものを整理する段階
脅威・脆弱性・リスクを見分ける段階
影響度と発生確率で大きさを考える段階
基準と比較して対応要否を判断する段階
回避・低減・移転・受容を選ぶ段階
対応後に残るリスクを管理する段階

この順番で見ると、似た用語をかなり切り分けやすくなります。

主要用語の整理

用語	判断基準
情報資産台帳とは？リスク管理の出発点を整理【SG試験】	リスクを考える前に、守る対象を一覧化するもの
脅威とは？損害の原因になる事象を整理【SG試験】	情報資産に害を与える原因を見分ける用語
脆弱性とは？攻撃される原因を理解する【SG試験】	脅威に付け込まれる弱点を見分ける用語
リスクレベルとは？影響度と発生確率で考えるリスクの大きさ【SG試験】	リスクの大きさを影響度と発生確率で考える用語
リスク基準（受容基準）とは？判断の軸をやさしく整理【SG試験】	どこまでのリスクを許容するかを決める判断基準
リスクアセスメントとは？手順とJISの考え方を整理【SG試験】	リスクを特定・分析・評価し、優先順位を決める工程
リスク対応とは？4つの対処方法を整理【SG試験】	回避・低減・移転・受容のどれで対処するかを決める工程
残留リスクとは？対応後にも残るリスクを理解する【SG試験】	リスク対応後にも残っているリスク
リスク所有者とは？アカウンタビリティと権限の主体を整理【SG試験】	リスクについて説明責任と権限をもつ主体
適用宣言書とは？ISMSで選んだ管理策を根拠付きで示す文書【SG試験】	選んだ管理策と適用・除外理由を整理するISMS文書
リスクマネジメントとは？全体像と残留リスクを整理【SG試験】	評価、対応、監視、見直しまで含めた全体活動

SG試験でのひっかけポイント

迷いやすい組合せ	切り分けのポイント
脅威 vs 脆弱性	害を起こす原因なら脅威、攻撃されやすい弱点なら脆弱性
脆弱性 vs リスク	弱点そのものなら脆弱性、損害が起きる可能性ならリスク
リスクアセスメント vs リスク対応	特定・分析・評価までならアセスメント、対策を選ぶなら対応
リスク基準 vs リスクレベル	判断のものさしならリスク基準、リスクの大きさならリスクレベル
リスク対応 vs 残留リスク	回避・低減・移転・受容を選ぶ話なら対応、対応後に残る話なら残留リスク
リスク所有者 vs 対策実施者	説明責任と権限の主体ならリスク所有者、作業を実行する担当者とは限らない
リスク低減 vs リスク移転	対策で発生可能性や影響を下げるなら低減、保険や外部委託で一部を移すなら移転
リスク受容 vs 放置	基準を踏まえて受け入れるなら受容、何も判断していないだけなら不適切
適用宣言書 vs リスク対応計画	管理策と適用・除外理由を示す文書か、実施計画かで切り分ける

特に、選択肢に「リスクを完全になくす」と書かれている場合は注意します。情報セキュリティでは、リスクをゼロにするのではなく、基準に照らして許容可能な水準まで下げ、残ったリスクを管理する考え方が基本です。

記事一覧

リスク管理の前提

評価と判断基準

対応と管理

ケース問題の練習

まとめ（試験直前用）

脅威は「害を起こす原因」、脆弱性は「付け込まれる弱点」、リスクは「損害が起きる可能性」です
リスクアセスメントは特定・分析・評価までで、対策の実施そのものではありません
リスク対応は、回避・低減・移転・受容のどれかを場面に合わせて選びます
残留リスクは、対応後にも残るリスクです
迷ったら、対策前か、評価中か、対応後か、責任主体の話かで切り分けます

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る