最終更新日:2026年5月6日
sg sg-security-management risk_assessment isms
まず結論
- リスクマネジメントとは、組織のリスクを特定・分析・評価し、対応し、継続的に見直す活動です
- リスクアセスメントは、リスクマネジメントの一部です
- SG試験では、残留リスク・固有リスク・発見リスク・投機リスクの違いが問われることがあります
- 特に、残留リスク=リスク対応後に残るリスクと判断できるようにしておくことが大切です
直感的な説明
リスクマネジメントは、簡単にいうと「危ないことを見つけて、対策し、残ったリスクも管理し続けること」です。
たとえば、会社で重要なデータを扱う場合を考えます。
- 情報漏えいが起きるかもしれない
- システム障害で業務が止まるかもしれない
- 委託先から情報が漏れるかもしれない
このようなリスクを見つけて、影響の大きさや起こりやすさを考えます。
そのうえで、アクセス制御、バックアップ、教育、委託先管理などの対策を行います。
ただし、どれだけ対策しても、リスクを完全にゼロにすることは難しいです。
この対策後にも残るリスクが、残留リスクです。
定義・仕組み
リスクマネジメントは、主に次の流れで考えます。
① リスクアセスメント
リスクを把握し、対応の優先順位を決める工程です。
- リスク特定:何が起きる可能性があるかを見つける
- リスク分析:発生可能性や影響度を考える
- リスク評価:対応すべきリスクか判断する
ポイントは、リスクアセスメントはリスクを調べて評価する工程だということです。
リスクマネジメント全体と同じ意味ではありません。
② リスク対応
評価したリスクに対して、どのように対応するかを決めます。
代表的な対応は次の4つです。
| 対応 | 意味 | 例 |
|---|---|---|
| 回避 | リスクのある行為をやめる | 危険なサービスを利用しない |
| 低減 | 対策してリスクを下げる | アクセス制御、暗号化、教育 |
| 移転 | 他者に一部を移す | 保険、外部委託 |
| 受容 | リスクを認識したうえで受け入れる | 影響が小さいため対応しない |
ここで大切なのは、リスク対応をしてもリスクが完全になくなるとは限らないことです。
③ 残留リスクの管理
残留リスクとは、リスク対応後に残るリスクです。
たとえば、次のようなイメージです。
- ウイルス対策ソフトを導入した
- 従業員教育を実施した
- アクセス権限を制限した
それでも、未知のマルウェア、設定ミス、人為的ミスなどのリスクは残ります。
この「対策してもなお残るリスク」が残留リスクです。
SG試験では、次のように判断します。
リスク対応後に残るリスク
→ 残留リスク
④ 継続的改善(PDCA)
リスクマネジメントは、一度実施して終わりではありません。
- Plan:リスク評価・対策計画
- Do:対策の実施
- Check:効果の確認
- Act:改善
新しい脅威、業務変更、システム変更、法令変更などによって、リスクは変化します。
そのため、継続的に見直すことが重要です。
どんな場面で使う?
ISMSの運用
ISMSでは、情報セキュリティリスクを継続的に管理します。
リスクを一度評価するだけでなく、対策の有効性を確認し、改善していくことが求められます。
新システム導入時
新しいシステムを導入するときは、次のようなリスクを考えます。
- 個人情報が漏えいしないか
- 権限管理に問題がないか
- 障害時に業務を継続できるか
- 委託先に適切な管理を求められるか
導入前にリスクを洗い出し、必要な対策を検討します。
委託先管理
外部委託では、自社だけでなく委託先の管理状況もリスクになります。
- 委託先で情報が漏れないか
- 再委託先まで管理できているか
- 契約で責任範囲を明確にしているか
- SLAや監査で確認できるか
このように、外部に任せたからリスクが消えるわけではありません。
委託はリスク移転の一つですが、管理責任まで完全になくなるわけではない点に注意します。
よくある誤解・混同
リスクマネジメントとリスクアセスメントの違い
| 用語 | 意味 |
|---|---|
| リスクアセスメント | リスクを特定・分析・評価すること |
| リスクマネジメント | アセスメント、対応、監視、改善まで含む全体活動 |
判断基準は、対策や継続的改善まで含むかです。
- リスクを洗い出して評価するだけ → リスクアセスメント
- 対策して、効果を確認し、見直す → リスクマネジメント
残留リスクと固有リスクの違い
SG試験では、ここが混同しやすいです。
| 用語 | 意味 | 判断のコツ |
|---|---|---|
| 固有リスク | 業務の性質や本来の特性から生じるリスク | 対策前からその業務にあるリスク |
| 残留リスク | リスク対応後に残るリスク | 対策後も残っているリスク |
たとえば、インターネットバンキングには、不正アクセスやなりすましのリスクがあります。
これは業務の性質上、もともと存在するため固有リスクです。
一方で、多要素認証や監視を導入しても、完全にはなくならないリスクがあります。
これが残留リスクです。
発見リスクとの違い
発見リスクは、主に監査の文脈で使われる用語です。
| 用語 | 意味 |
|---|---|
| 発見リスク | 監査手続を実施しても、監査人が重要な不備を発見できないリスク |
| 残留リスク | リスク対応後に残るリスク |
「監査人が見つけられない」という文脈なら、発見リスクです。
「対策後に残る」という文脈なら、残留リスクです。
投機リスクとの違い
投機リスクは、損失だけでなく利益が出る可能性もあるリスクです。
たとえば、投資や新規事業では、損失が出る可能性もありますが、利益が出る可能性もあります。
このようなリスクが投機リスクです。
一方、情報セキュリティで扱うリスクは、多くの場合、情報漏えい、停止、改ざんなどの損失を避ける観点で考えます。
SG試験でのひっかけポイント
ひっかけ1:残留リスクを選べるか
次のような選択肢があれば、残留リスクです。
リスク対応後に残るリスク
「対応後」「対策後」「なお残る」という表現があれば、残留リスクを疑います。
ひっかけ2:固有リスクと間違えない
次のような表現は、固有リスクです。
業務の性質や本来有する特性から生じるリスク
「本来ある」「業務の性質」「対策前から存在する」というイメージです。
ひっかけ3:発見リスクと間違えない
次のような表現は、発見リスクです。
監査手続を実施しても、監査人が重要な不備を発見できないリスク
「監査人が見つけられない」がキーワードです。
ひっかけ4:投機リスクと間違えない
次のような表現は、投機リスクです。
利益を生む可能性に内在する、損失発生の可能性として存在するリスク
「利益が出る可能性もあるリスク」と考えると判断しやすいです。
試験での判断フレーズ
| 問われる表現 | 選ぶ用語 |
|---|---|
| リスク対応後に残るリスク | 残留リスク |
| 業務の性質や本来有する特性から生じるリスク | 固有リスク |
| 監査人が重要な不備を発見できないリスク | 発見リスク |
| 利益と損失の両方の可能性を含むリスク | 投機リスク |
| リスクを特定・分析・評価する工程 | リスクアセスメント |
| リスクを継続的に管理・改善する全体活動 | リスクマネジメント |
例題で確認
問:JIS Q 31000における、残留リスクの説明として適切なものはどれか。
- ア:監査手続を実施しても監査人が重要な不備を発見できないリスク
- イ:業務の性質や本来有する特性から生じるリスク
- ウ:利益を生む可能性に内在する損失発生の可能性として存在するリスク
- エ:リスク対応後に残るリスク
正解:エ
考え方
残留リスクは、名前のとおり「残るリスク」です。
ただし、単に何となく残っているリスクではなく、リスク対応を行った後にも残るリスクを指します。
そのため、正解はエです。
- ア:発見リスク
- イ:固有リスク
- ウ:投機リスク
- エ:残留リスク
まとめ(試験直前用)
- リスクマネジメントは、リスクを継続的に管理・改善する全体活動
- リスクアセスメントは、特定・分析・評価までの工程
- リスク対応には、回避・低減・移転・受容がある
- 残留リスクは、リスク対応後に残るリスク
- 固有リスクは、業務の性質や本来の特性から生じるリスク
- 発見リスクは、監査人が重要な不備を発見できないリスク
- 投機リスクは、損失だけでなく利益の可能性も含むリスク
- 迷ったら、対策前か、対策後か、監査の話か、利益も含む話かで切り分ける