平成31年度 秋期 システム監査技術者試験 午前II 問20

ア: 脅威とは，一つ以上の要因によって悪用される可能性がある，資産又は管理策の弱点のことである。
誤り。「資産又は管理策の弱点」は「脆弱性」の定義です。「脅威」は損害を与える可能性のある事象を指します。

イ: 脆弱性とは，システム又は組織に損害を与える可能性がある，望ましくないインシデントの潜在的な原因のことである。
誤り。これは「脅威」の説明に近く、脆弱性はセキュリティ上の弱点を指します。

ウ: リスク対応とは，リスクの大きさが，受容可能又は許容可能かを決定するために，リスク分析の結果をリスク基準と比較するプロセスのことである。
誤り。これは「リスク評価」の説明に該当します。「リスク対応」は、リスクを低減・回避・移転・受容するための対策のことです。

エ: リスク特定とは，リスクを発見，認識及び記述するプロセスのことであり，リスク源，事象，それらの原因及び起こり得る結果の特定が含まれる。
正しい。リスク特定は、リスクマネジメントの最初のステップで、JIS Q 27000における定義と一致します。