【情報セキュリティマネジメント試験】令和6年度 科目 A・B 公開問題(1)「JIS Q 31000:2019のプロセス」

ITの基礎

情報セキュリティマネジメント試験の令和6年度の公開問題(科目 A・B)を解こう。

今回のテーマは、「JIS Q 31000:2019のプロセス」である。

令和6年度 情報セキュリティマネジメント試験 公開問題 科目 A・B 問1

問1 JIS Q 31000:2019(リスクマネジメント-指針)におけるリスクアセスメントを構
成するプロセスの組合せはどれか。
ア リスク特定,リスク評価,リスク受容
イ リスク特定,リスク分析,リスク評価
ウ リスク分析,リスク対応,リスク受容
エ リスク分析,リスク評価,リスク対応

答えを確認する

正解は イ です。

【前提知識】

JIS Q 31000:2019(リスクマネジメントー指針)は、組織がリスクを適切に管理するための「共通の枠組み」を提供する規格である。

この規格は、2018年に第2版として発行されたISO 31000を基に、技術的内容及び構成を変更することなく作成した日本工業規格である。

組織がこの規格に沿ってリスクマネジメントを構築・実施する際に、「守るべき重要なエッセンス(柱)」として以下の3つの構成要素が定義されている。

1. リスクマネジメントの原則(Principles)

組織がリスクマネジメントを通じて価値を創造し、保護するために順守すべき8つの原則である。これらはリスクマネジメントの「理想的なあり方」を示している。

  • 包括的 (Inclusive): 利害関係者の適切な関与。
  • ダイナミック (Dynamic): 変化への迅速な対応。
  • 利用可能な最善の情報 (Best available information): データの活用。
  • 人的及び文化的要因 (Human and cultural factors): 人の影響の考慮。
  • 継続的改善 (Continual improvement): 常に向上させる。
  • カスタマイズ (Customized): 組織に合わせる。
  • 構造化され、かつ、包括的 (Structured and comprehensive): 体系的なアプローチ。
  • 統合 (Integrated): 組織のあらゆる活動に組み込む。

2. 枠組み(Framework)

リスクマネジメントを組織のあらゆる活動に統合するためのリーダーシップと仕組みである。

  • リーダーシップ及びコミットメント: 経営層が自ら関与し、資源を配分すること。
  • 統合: 組織のガバナンス、戦略、目標設定、業務運営にリスクマネジメントを組み込むこと。
  • 設計: 組織の状況を理解し、役割と責任を割り当てること。
  • 実施: 計画に従って枠組みを導入すること。
  • 評価: 枠組みが有効に機能しているかを定期的に測定すること。
  • 改善: 評価結果に基づき、枠組みを適宜修正すること。

3. プロセス(Process)

プロセスは、組織が実際にリスクを特定し、どう扱うかを決めるための実務的なステップである。単なる作業手順ではなく、常に状況の変化を見守りながら循環させることが求められる。

① 適用範囲、状況及び基準

まず「何を対象とするか(事業全体か、特定のプロジェクトか)」を決め、リスクが良いか悪いかを判断するための「リスク基準」を設定する。

② リスクアセスメント(特定・分析・評価)

ここが実務の核心部分である。

  • リスク特定: 目標達成を妨げる要因(リスク)を洗い出す。
  • リスク分析: 特定したリスクの性質を理解する。具体的には、「起こりやすさ(頻度)」「影響の大きさ(結果)」を組み合わせ、リスクのレベルを推定する。ここでは、既存の管理策がどれほど有効に機能しているかも考慮に入れる。
  • リスク評価: 分析結果を、最初に決めた「リスク基準」と比較する。ここで、追加の対策が必要か、それとも現状で受け入れ可能かを判断する。

③ リスク対応(およびリスク受容)

評価の結果に基づいて、具体的なアクションを起こす。

  • リスク対応の選択: リスクを「回避」する(活動を中止する)、「低減」する(対策を打つ)、「共有」する(保険に入る等)といった選択肢から対策を選ぶ。
  • リスク受容: 対策を講じた後(あるいは対策が不要と判断した場合)に、残ったリスクを組織として公式に受け入れることを指す。
    「リスク分析」によってリスクの大きさが明確になっているからこそ、納得感のある「受容」が可能になる。

④ コミュニケーション及び協議

プロセスの各段階で、利害関係者(ステークホルダー)と情報を共有し、意見を交わす。

⑤ モニタリング及びレビュー

リスク分析で用いた前提条件が変化していないか、対策が効いているかを継続的に監視する。

⑥ 記録及び報告

一連のプロセスを文書化し、適切な階層(経営層や現場)へ報告することで、組織全体の学習につなげる。

まとめ

組織がJIS Q 31000を「順守」するということは、単にルールを作るだけでなく、「経営トップの強い意志(リーダーシップ)のもとで、組織の文化や日常業務の中にリスクを考える仕組みを溶け込ませ、常に改善し続けること」を目指すことを意味する。

それでは、各肢を検討していこう。

ア、ウ 誤り。

リスク受容」とは、ある特定のリスクに対して対策を行わずにリスクを受け入れること。
リスク特定」「リスク分析」「リスク評価」の結果を基にして、起こすアクションの一つ。

イ 正解。

エ 誤り。

リスク対応」は、「リスク特定」「リスク分析」「リスク評価」の結果を基にして、どのようにリスクに対処するかを決定し、実際に対処するアクションを指す。

解法のポイント
JIS Q 31000:2019・・初見なら戸惑うかもしれないが、常識問題として解けるレベル。
頻出論点である。この機会に整理しておこう。

コメント

タイトルとURLをコピーしました