🎯 まず結論から
リスクアセスメントとは、情報資産に対するリスクを体系的に把握するプロセスです。
「リスク管理」のインプット(入力)となる重要な工程で、次の3ステップで構成されます:
①リスクの識別 → ②リスクの分析 → ③リスクの評価
🔄 リスクアセスメントの流れ
リスクアセスメントのプロセス
① リスクの識別
何がリスクか洗い出す
何がリスクか洗い出す
情報資産×脅威×脆弱性
→
② リスクの分析
発生頻度・影響度を評価
発生頻度・影響度を評価
リスクレベルを数値化
→
③ リスクの評価
許容可能か判断する
許容可能か判断する
受容基準と比較
↓
リスク対応(次のテーマ)
🔍 ①リスクの識別
「どんなリスクがあるか」を網羅的に洗い出す作業です。
- 情報資産の目録(資産台帳)を作成する
- 各資産に対してどんな脅威があるかを列挙する
- その脅威を利用される可能性のある脆弱性を特定する
リスクの識別が不十分だと、後の対策が的外れになります。
📊 ②リスクの分析
特定したリスクの「発生可能性」と「影響度」を評価し、リスクレベルを算出します。
リスクマトリクス(例)
| 影響度:低 | 影響度:中 | 影響度:高 | |
|---|---|---|---|
| 発生可能性:高 | 中 | 高 | 最高 |
| 発生可能性:中 | 低 | 中 | 高 |
| 発生可能性:低 | 低 | 低 | 中 |
リスクマトリクス(視覚版)
受容基準ラインとリスク対応の必要性
発生可能性 ↑ 高
中
対応検討
対応検討
高
要対応
要対応
最高
最優先
最優先
低
受容可
受容可
中
対応検討
対応検討
高
要対応
要対応
低
受容可
受容可
低
受容可
受容可
中
対応検討
対応検討
影響度:低
影響度:中
影響度:高 →
📍 受容基準ライン(例)
🟢 緑(低リスク)= 受容:対策コストが高く現状を許容
🟡 黄(中リスク)= 対応検討:優先度・コストで判断
🔴 赤(高・最高)= 必ず対応:受容基準を超えている
🟡 黄(中リスク)= 対応検討:優先度・コストで判断
🔴 赤(高・最高)= 必ず対応:受容基準を超えている
試験では「受容基準を超えたリスクに対してリスク対応を行う」という流れが重要。受容基準は組織が独自に設定します。
⚖️ ③リスクの評価
分析で算出したリスクレベルを、あらかじめ定めた受容基準(リスク許容水準)と比較します。
- 受容基準を超えている → リスク対応が必要
- 受容基準以下 → 現状を受容(受容リスク)
受容基準は組織ごとに定める。業種・規模・経営判断によって異なります。
📝 試験での出方
「リスクアセスメントの手順として正しいものはどれか」→識別→分析→評価の順序。「リスク分析の目的は?」→リスクレベルの算出。
「リスクアセスメント=リスク対応」ではない。リスクアセスメントはリスクを「把握する」工程。対策する「リスク対応」は次のステップです。
📝 確認クイズ
1リスクアセスメントのプロセスとして正しい順序はどれか?
2リスク受容基準として最も適切なものはどれか?
3リスクアセスメントの目的として最も適切なものはどれか?