令和3年度 秋期 システム監査技術者試験 午前II 問20

ア: 脅威とは，一つ以上の要因によって付け込まれる可能性がある，資産又は管理策の弱点のことである。
誤り。これは脆弱性の説明に近い表現です。脅威とは「弱点を利用して損害を与える可能性がある要因」のことを指します。

イ: 脆弱性とは，システム又は組織に損害を与える可能性がある，望ましくないインシデントの潜在的な原因のことである。
誤り。この記述は実際には「脅威」の定義に近く、脆弱性とは「資産や管理策に存在する弱点」を指します。

ウ: リスク対応とは，リスクの大きさが，受容可能か又は許容可能かを決定するために，リスク分析の結果をリスク基準と比較するプロセスのことである。
誤り。これは「リスク評価」の説明であり、リスク対応とは、リスクを低減、回避、共有、または受容するための行動を指します。

エ: リスク特定とは，リスクを発見，認識及び記述するプロセスのことであり，リスク源，事象，それらの原因及び起こり得る結果の特定が含まれる。
正しい。この記述は、JIS Q 27000におけるリスク特定の定義に合致しています。