リスクマネジメントとは｜流れ・対応策 | london3.jp

概要

リスクマネジメントとは、組織が直面するリスクを洗い出し、評価し、適切に対応する一連の管理活動です。情報セキュリティでは、情報資産に対する脅威・脆弱性によるリスクを管理し、被害を許容できる範囲に抑えることを目指します。

大きく分けて、リスクを分析・評価する「リスクアセスメント」と、評価結果に基づき対策する「リスク対応」から成り、PDCAで継続的に見直します。

詳細（全体の流れ）

リスクアセスメント：リスクの特定 → 分析 → 評価。
リスク対応：低減・回避・移転・受容のいずれかを選び、管理策を実施。
残留リスクの承認：対応後に残るリスクを経営層が受容・承認する。
モニタリング・見直し：状況変化に応じて継続的に見直す（PDCA）。

リスクマネジメントの全体像は「アセスメント（特定・分析・評価）→ 対応 → 残留リスクの承認 → 見直し」。リスクアセスメントとリスク対応の位置づけが頻出です。

リスクの要素

情報セキュリティのリスクは、次の要素の組合せで生じます。

要素	意味
情報資産	守るべき価値あるもの。
脅威	資産に損害を与える要因（攻撃・災害・人的ミスなど）。
脆弱性	脅威につけ込まれる弱点（パッチ未適用など）。

リスク＝資産の価値 × 脅威 × 脆弱性のイメージで捉えると理解しやすくなります。脆弱性をなくす・脅威を減らすことでリスクを下げられます。

リスクをゼロにはできないため、「重要なリスクから優先的に対応し、許容できる範囲に抑える」のがリスクマネジメントの考え方です。費用対効果を意識した対策の選択が重要です。

関連例

リスクアセスメントを行わずに「とりあえず製品を導入する」と、重要資産が手薄なまま些末な対策に費用をかける、といった非効率が生じます。リスクを評価して優先順位をつけることで、限られた予算を効果的に配分できます。ISMSの中核的な活動です。

試験での問われ方

「リスクマネジメントの流れとして正しい順序はどれか」→ アセスメント→対応→見直し。
「リスクを構成する要素はどれか」→ 資産・脅威・脆弱性。
「リスクアセスメントとリスク対応の関係」を問う問題。