88の正解: テクノロジ系セキュリティ

ISMSのリスクアセスメントにおいて、最初に行うものはどれか。

この設問が問うていること

ISMS(情報セキュリティマネジメントシステム)における「リスクアセスメント」の標準的な実施手順について問う設問です。

リスク対応
選択肢の解説: リスク対応は、リスクアセスメント完了後に、具体的な対策(低減、回避など)を立案・実施するプロセスです。
リスク特定正解
選択肢の解説: リスク特定の説明です。どのようなリスクがあるかを発見・洗い出す最初のステップであり、これが正解です。
リスク評価
選択肢の解説: リスク評価は、分析結果をリスク受容基準と比較し、対策の優先順位を判断する最終ステップです。
リスク分析
選択肢の解説: リスク分析は、特定したリスクの発生確率や影響度を掛け合わせてリスクの大きさを計算する第2ステップです。

総合解説

JIS Q 27001等のISMS基準において、「リスクアセスメント」は①リスク特定(リスクを見つける)、②リスク分析(リスクの大きさを測る)、③リスク評価(対策の必要性を判断する)の3つのステップから構成されます。この中でも最初に行うべきは、自社が持つ情報資産とそれに伴う脅威・脆弱性を洗い出し、どのようなリスクがあるかを明確にする「リスク特定」です。アのリスク対応は、リスクアセスメントの後に実施されるプロセスです。したがって、正解はbです。

執筆・監修: 運営者 KH更新日: 2026-07-05出典: IPA公式PDF(過去問題・解答例)
AIAIにその場で質問(デモ応答)

こんな聞き方もできます(タップで質問)

令和3年度を本番同様のCBT形式で解いてみよう

無料登録なしでも一部体験可能。登録すれば採点・弱点分析・AI教科書まで使えます。

令和3年度の過去問CBTを解く