応用情報技術者試験令和4年春午前問43 解説付き過去問

問題

JIS Q 27000:2019(情報セキュリティマネジメントシステム－用語)における"リスクレベル"の定義はどれか。

脅威によって付け込まれる可能性のある、資産又は管理策の弱点

結果とその起こりやすさの組合せとして表現される、リスクの大きさ

対応すべきリスクに付与する優先順位

リスクの重大性を評価するために目安とする条件

この問題では、JIS Q 27000:2019における「リスクレベル」の正確な定義を理解することが求められています。

リスクレベルの一般的な定義
リスクレベルとは、リスクがどの程度の重大性を持つかを示す指標です。これは、潜在的な損失や影響を及ぼす可能性がどれだけあるかを評価するために用います。
選択肢の評価
選択肢の中で「結果とその起こりやすさの組合せとして表現される、リスクの大きさ」という表現が、リスクレベルの最も適切な定義に合致します。リスクレベルは、単にリスクが存在することを指摘するだけでなく、そのリスクが実現した場合の結果の重大性と、そのリスクが発生する可能性の両方を考慮して評価されます。そのため、リスクの「大きさ」を示すこの表現が最も適切です。
他の選択肢の分析
他の選択肢では、「脅威によって付け込まれる可能性のある、資産又は管理策の弱点」はリスクそのものの定義に近く、リスクレベルの定義ではありません。「対応すべきリスクに付与する優先順位」と「リスクの重大性を評価するために目安とする条件」もリスク管理の過程や評価基準を説明しているもので、リスクレベルの直接的な定義ではないため、正解ではありません。

したがって、リスクレベルを「結果とその起こりやすさの組合せとして表現される、リスクの大きさ」と定義する選択肢が正解です。この表現がリスクレベルの本質を最も明確に捉えています。