FE EXAM

リスクアセスメント(特定→分析→評価)

リスクを洗い出し、その大きさを分析・評価する一連の活動。

DIAGRAM
特定
分析
評価
リスクアセスメントの3ステップ① リスク特定
どんな危険があるかを洗い出す
② リスク分析
発生確率 × 影響度 で大きさを見積もる
③ リスク評価
基準と比べ対応の優先順位を決める
リスク = 発生確率 × 影響度確率と影響を掛けて、危険の「大きさ」を同じものさしで比べるリスクアセスメントは「リスクマネジメント」全体の前半部分この後に「リスク対応(回避・低減・移転・受容)」が続く
解説

📌
リスクアセスメントとは

特定分析評価危険を洗い出して大きさを測る

リスクアセスメントとは、組織にとっての危険(リスク)を洗い出し、その大きさを分析・評価する一連の活動です。「どんな危険があり、どれにどれくらい注意すべきか」を整理するための作業だと考えると分かりやすいです。

身近な例で考えると、引っ越し前の家の点検に似ています。「雨漏りしそうな箇所はどこか」を見つけ(特定)、「もし漏れたらどれくらい困るか」を見積もり(分析)、「最優先で直すべき箇所はどこか」を判断する(評価)──この流れがリスクアセスメントです。

ポイントは、対策そのものではなく「どこに危険があり、どれが重大か」を見極める段階だということです。上の図解にあるとおり、特定・分析・評価の3ステップで進み、この後に実際の対策(リスク対応)へつなげます。

📌
3ステップの内容

リスクアセスメントは、次の3つのステップを順番に進めます。


① リスク特定:守るべき情報資産にどんな危険があるかを洗い出す段階。例「ノートPCの紛失」「不正アクセス」など、可能性を漏れなく挙げる
② リスク分析:洗い出した危険それぞれについて、リスク = 発生確率 × 影響度 の考え方で大きさを見積もる段階
③ リスク評価:分析した大きさを、あらかじめ決めた基準(許容できる水準)と比べ、どれから対応すべきかの優先順位を決める段階

順序が大切で、必ず「特定→分析→評価」の順に進みます。何があるかを洗い出さなければ大きさは測れず、大きさが分からなければ優先順位もつけられないからです。発生確率 × 影響度で測ると、「めったに起きないが起きたら致命的」「よく起きるが影響は小さい」といったタイプの違う危険も同じものさしで比較できます。

📌
リスクマネジメントとの関係

リスクマネジメント(全体)リスクアセスメント特定・分析・評価リスク対応回避・低減・移転・受容

リスクアセスメントは、それ単体で完結するものではなく、リスクマネジメント(リスクを管理する活動全体)の一部です。リスクマネジメントは大きく「アセスメント」と「対応」に分かれます。


リスクアセスメント:危険を特定・分析・評価し、「どれが重大か」を見極める前半部分
リスク対応:評価結果をもとに実際に手を打つ後半部分。リスク回避・リスク低減・リスク移転・リスク受容の4つから選ぶ

病院の流れに例えると、診断(アセスメント)と治療(対応)の関係です。まず検査で何がどれだけ悪いかを調べ、その結果に応じて治療方針を決めます。リスクアセスメントで優先順位がはっきりするからこそ、限られた予算や人手を本当に重大なリスクへ集中できるのです。

📌
リスク対応の4択

リスク回避:やめる低減:減らす移転:他へ受容:そのまま

リスクアセスメントで優先順位がついたあと、各リスクへの対応方針を決めます。対応は大きく4種類あります。


リスク回避:そのリスクが生じる活動自体をやめる。例:インターネット公開をやめてイントラネット(社内だけのネットワーク)に限定する
リスク低減(=リスク軽減):対策を施してリスクの発生確率や影響度を小さくする。例:ファイアウォール(=不正な通信を遮断する仕組み)を導入する
リスク移転(=リスク共有):損害が出たときに別の組織が負担するよう備える。例:情報漏えい保険に加入して損害賠償の一部を保険会社に移す
リスク受容(=リスク保有):リスクが小さい、または対策費用が損害より大きい場合に、あえてそのまま受け入れる

なぜ4択があるのか。すべてのリスクに同じ手を打つのは現実的ではありません。リスクの大きさ・対策コスト・業務への影響を比べて、最もバランスの良い対応を選ぶことが大切です。身近な例で言えば、自転車の盗難リスクに対し、「自転車をやめる(回避)」「鍵をかける(低減)」「盗難保険に入る(移転)」「安い自転車なので気にしない(受容)」の4択があるのと同じ考え方です。

📌
発生確率×影響度の考え方

リスクマトリクス(縦:発生確率 / 横:影響度)中程度よく起きるが被害は小最優先対応よく起き、大きな被害低優先めったになく小さい要注意まれだが大きな被害

リスク分析では、リスクの大きさ=発生確率 × 影響度という考え方を使います。発生確率(=どれくらいの頻度で起きるか)と影響度(=起きたときにどれくらい困るか)の2軸で、リスクを位置づけます。

上の表(リスクマトリクス=2軸で整理した表)を見ると、リスクを4つのパターンに分けられます。
確率高・影響高:最優先で対応すべき最も危険なリスク
確率低・影響高:めったに起きないが起きると致命的。保険や回避策が有効
確率高・影響低:頻繁に起きるが被害は小さい。コストを抑えた低減策が合う
確率低・影響低:今すぐ対応しなくてよい低優先リスク

なぜ掛け算なのか。たとえば「確率1(低)× 影響度10(高)=10」と「確率5(中)× 影響度2(低)=10」は同じ大きさになります。このように異なる種類の危険を同じ数値で並べて比較できるのが掛け算の利点です。足し算では「よく起きる・大きな影響」を過小評価しやすいため、掛け算を使います。

練習問題

🎯
基本情報技術者 練習問題

Q1.リスクアセスメントの説明として最も適切なものはどれか。
A.リスクを洗い出し、その大きさを分析・評価する一連の活動
B.リスクに対して保険に加入する手続き
C.システムの稼働状況を24時間監視する作業
D.プログラムの不具合を修正する作業
Q2.リスクアセスメントを構成する3ステップの順序として正しいものはどれか。
A.リスク特定 → リスク分析 → リスク評価
B.リスク評価 → リスク分析 → リスク特定
C.リスク分析 → リスク特定 → リスク評価
D.リスク評価 → リスク特定 → リスク分析
Q3.リスクの大きさを見積もる考え方として一般的なものはどれか。
A.リスク = 発生確率 × 影響度
B.リスク = 発生確率 + 影響度
C.リスク = 影響度 ÷ 発生確率
D.リスク = 対策費用 × 担当者数

関連コンテンツ