情報セキュリティリスクアセスメントの流れとして適切なものはどれか。

📝 解説

情報セキュリティリスクアセスメントの流れは「リスク特定→リスク分析→リスク評価→リスク対応」の4ステップです。健康診断に例えると、①リスク特定＝「全身の各部位を検査し問題候補を洗い出す（資産・脅威・脆弱性の特定）」②リスク分析＝「各所見の深刻さを評価する（発生可能性×影響度でリスク値を算出）」③リスク評価＝「治療が必要か様子見でいいか判断する（リスク許容度と比較して優先度付け）」④リスク対応＝「具体的な治療方針を決める（回避・低減・移転・受容の選択）」です。ISO/IEC 27005に基づくリスクアセスメントでは、情報資産（顧客データ・システム等）ごとに想定される脅威（不正アクセス・災害等）と脆弱性（未パッチ・弱いパスワード等）を組み合わせてリスクを特定し、定量的・定性的に分析します。誤答の「対策実施→リスク特定」はリスクを特定する前に対策を実施してしまっており正しくありません。「リスクアセスメントの流れ＝特定→分析→評価→対応のこの順序」と確実に覚えましょう！