平成21年度 秋期 システム監査技術者試験 午前II 問21 2025年6月25日
【問題21】
情報システムのリスク分析に関する記述のうち,適切なものはどれか。
ア
リスクには,投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは,投機的リスクである。
イ
リスクの予想損失額は,損害予防のために投入されるコスト,復旧に要するコスト,及びほかの手段で業務を継続するための代替コストの合計で表される。
ウ
リスク分析では,現実に発生すれば損失をもたらすリスクが,情報システムのどこに,どのように潜在しているかを識別し,その影響の大きさを測定する。
エ
リスクを金額で測定するリスク評価額は,損害が現実のものになった場合の 1 回当たりの平均予想損失額で表される。
【解説】
ア: リスクには,投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは,投機的リスクである。 誤り 。投機的リスクは,利益と損失の両方の可能性を含むリスクであり,金融取引などに関連します。一方,情報セキュリティに関するリスク分析の対象となるのは,一般に純粋リスク(損失のみが発生するリスク)です。
イ: リスクの予想損失額は,損害予防のために投入されるコスト,復旧に要するコスト,及びほかの手段で業務を継続するための代替コストの合計で表される。 誤り 。リスクの予想損失額は,発生確率と損害額の積で求められます。選択肢の記述はリスク対策のためのコスト要素の説明になっています。
ウ: リスク分析では,現実に発生すれば損失をもたらすリスクが,情報システムのどこに,どのように潜在しているかを識別し,その影響の大きさを測定する。 正しい 。リスク分析の目的は,システム内のリスク要因を特定し,その影響を評価することです。リスクの識別と影響の測定は,リスクマネジメントの基本的な手順です。
エ: リスクを金額で測定するリスク評価額は,損害が現実のものになった場合の 1 回当たりの平均予想損失額で表される。 誤り 。リスク評価額(ALE: Annualized Loss Expectancy)は,1 回当たりの損失額(SLE: Single Loss Expectancy)と年間発生頻度(ARO: Annualized Rate of Occurrence)の積で求められます。1 回の平均損失額だけではリスク評価額を正しく表せません。
【答え】
ウ: リスク分析では,現実に発生すれば損失をもたらすリスクが,情報システムのどこに,どのように潜在しているかを識別し,その影響の大きさを測定する。
出典:平成21年度 春期 システム監査技術者試験 午前II 問21
