メインコンテンツへスキップ
過去問AI
情報セキュリティマネジメント令和5年度 CBT科目A13

令和5年度 CBT 情報セキュリティマネジメント 科目A13

リスクマネジメント
難度標準

A社は,分析・計測機器などの販売及び機器を利用した試料の分析受託業務を行う分析機器メーカーである。A社では,図1の“情報セキュリティリスクアセスメント手順”に従い,年一度,情報セキュリティリスクアセスメントを行っている。

・情報資産の機密性,完全性,可用性の評価値は,それぞれ0~2の3段階とする。

・情報資産の機密性,完全性,可用性の評価値の最大値を,その情報資産の重要度とする。

・脅威及び脆弱性の評価値は、それぞれ0~2の3段階とする。

・情報資産ごとに、様々な脅威に対するリスク値を算出し,その最大値を当該情報資産のリスク値として情報資産管理台帳に記載する。ここで,情報資産の脅威ごとのリスク値は,次の式によって算出する。

リスク値=情報資産の重要度×脅威の評価値×脆弱性の評価値

・情報資産のリスク値のしきい値を5とする。

・情報資産ごとのリスク値がしきい値以下であれば受容可能なリスクとする。

・情報資産ごとのリスク値がしきい値を超えた場合は,保有以外のリスク対応を行う

図1 情報セキュリティリスクアセスメント手順

A社の情報セキュリティリーダーである Bさんは、年次の情報セキュリティリスクアセスメントを行い,結果を情報資産管理台帳に表1のとおり記載した。

表1 A社の情報資産管理台帳(抜粋)

情報資産 機密性の評価値 完全性の評価値 可用性の評価値 情報資産の重要度 脅威の評価値 脆弱性の評価値 リスク値

(一)従業員の健康診断の情報 2 2 2 (省略) 2 2 (省略)

(二)行動規範などの社内ルール 1 2 1 (省略) 1 1 (省略)

(三)自社 Web サイトに掲載して 0 2 2 (省略) 2 2 (省略)

いる会社情報

(四)分析結果の精度を向上させ 2 2 1 (省略) 2 1 (省略)

るために開発した技術

設問表1中の各情報資産のうち,保有以外のリスク対応を行うべきものはどれか。該当するものだけを全て挙げた組合せを,解答群の中から選べ。

選択肢

(一),(二)
(一),(二),(三)
(一),(二),(四)
(一),(三)
(一),(三),(四)
(一),(四)
(二),(三)
(二),(三),(四)
(三),(四)

解説

結論 → 詳細 → 補足 の 3 層構成

展開
解説Layer 1

リスク値を計算すると、情報資産(一)「従業員の健康診断の情報」は重要度2×脅威2×脆弱性2=8、情報資産(三)「自社Webサイトに掲載している会社情報」は重要度2×脅威2×脆弱性2=8となります。これらはいずれも設定されたしきい値5を超えているため、保有以外のリスク対応を行うべきです。

この解説は?
この解説は AI 生成です(詳細)

解説テキストは Google Gemini に IPA 公式の問題文・公式解答を入力して生成しました。 人間によるレビューを行ったものと、未レビューのものが混在します。

AI は事実誤認・選択肢の取り違え・最新法令の反映漏れ等を含む可能性があります。 重要な判断は必ず IPA 公式 PDF または最新の参考書でご確認ください。

解説の検証プロセス・誤り報告フローは 運営透明性レポートで公開しています。

※ AI 生成の解説は誤りを含む可能性があります。重要な判断は IPA 公式資料でご確認ください。

最終更新:

出典: IPA 問題 PDFIPA 公式解答 PDF

分野「リスクマネジメント」の学習ポイント

この問題の理解を「分野全体の力」に広げるための足がかり

何が問われるか
本問の分野で問われる代表的な知識・用語の整理。
学習の進め方
正解/誤答の選択肢ごとに「なぜ正しい / なぜ違うのか」を1行ずつ言語化すると定着する。
この分野の問題をもっと解く
AI コパイロット

この問題を AI と深掘りする

用語解説・選択肢分析・類題生成をその場で対話。クイズモードでは解答→解説がゼロ遷移。

クイズモードで開く

AIに質問できる例

共有

X でシェアLINE

ショート動画

関連する問題

リスクマネジメント の他の問題