メインコンテンツへ
セキュリティ情報セキュリティ管理

リスクアセスメントにおいてリスク値を算出する式として、最も適切なものはどれか。

ア.リスク値 = 脅威 + 脆弱性 + 資産価値
イ.リスク値 = 脅威 × 対策コスト ÷ 資産価値
ウ.リスク値 = 発生確率 × 対策効果 × 資産価値
エ.リスク値 = 脅威 × 脆弱性 × 資産価値正解

解説

リスク値は「三つの掛け算」。鍵のかかっていない(脆弱性大)金庫(資産価値大)を狙う泥棒(脅威大)が来るほど、リスクは跳ね上がる——一つでもゼロなら積はゼロ、という乗算の論理です。

なぜ エ が正解か

リスク値 = 脅威 × 脆弱性 × 資産価値 が情報セキュリティ管理での基本算式です。脅威(攻撃者・災害など)が存在し、脆弱性(弱点)があり、守るべき資産価値が高いほどリスクは大きくなります。乗算なので、いずれか一つが0なら結果も0になります(脆弱性をゼロにすれば脅威があってもリスクは生じない)。

なぜ ア は間違いか

足し算では三要素のうち一つが0でもリスクが残ってしまいます。脆弱性がなければリスクは生じないという現実を表現できないため、加算モデルは不適切です。

なぜ イ は間違いか

対策コストはリスク算出の要素ではなく、リスク対応策を選ぶ際のコスト便益分析で使います。リスク値の計算式に含めるのは誤りです。

なぜ ウ は間違いか

対策効果はリスク低減後の残留リスク評価で使う概念であり、リスク値の算出式には登場しません。発生確率は脅威と脆弱性の組み合わせで間接的に表現されます。

出典: AI生成問題(学習用)