リスクアセスメントのプロセス【情報処理安全確保支援士試験 平成30年度 春期 午後1 問3 設問1】
情報処理安全確保支援士試験 平成30年度 春期 午後1 問3 設問1
問3 LAN分離に関する次の記述を読んで、設問1〜4に答えよ。
N社は、新薬創出を事業内容とする、いわゆる創薬ベンチャ企業である。従業員は10名で、研究開発員が5名、その他の事務員が5名である。N社のネットワーク構成は図1に示す。図1中の全ての機器には固定のIPアドレスを割り当てている。また、インターネット経由でN社が利用しているクラウドサービスを表1に示す。
〔リスクアセスメント〕
N社は、事業拡大のために、研究開発員を30名程度に増員する計画を立てた。これまで、情報管理を従業員の裁量に任せていたが、増員に伴い、社内の情報管理方法、特にファイルの漏えい防止対策を強化することになり、B取締役がその責任者に、ネットワーク管理に最も詳しいRさんが担当者に、それぞれ指名された。社外の情報処理安全確保支援士(登録セキスペ)であるA氏の支援を受けることにし、漏えい防止対策の強化について検討を開始した。
次は、その時の会話である。
B取締役:当社では情報資産の漏えい防止が重要な課題ですが、まずは有望な新薬候補に関するファイル(以下、新薬ファイルという)の保護に絞って見直そうと思います。
A氏:わかりました。新薬ファイルは、どこに保管しているのですか。
Rさん:主に研究開発用ファイルサーバに保管していますが、一部は研究開発員が使用する社内PCにも保管しています。
A氏:保護の見直しの最初に、サーバや社内PCに保管中の新薬ファイルについてリスクアセスメントを行うことが必要です。JIS Q 31000-2010及びJIS Q 31010-2012では、リスクアセスメントは、(a:リスク特定)、リスク分析、(b:リスク評価)の三つのプロセスの順に進めると定義されています。まず、(a:リスク特定)のプロセスですが、ファイルに影響を及ぼす一般的なリスクの一覧を私から提供しますので、これを基に進めるとよいでしょう。
B取締役とRさんは、A氏の支援の下で(a:リスク特定)のプロセスを完了した。その結果、新薬ファイルに影響を及ぼすリスクの一覧として表2が得られた。
a:リスク特定、b:リスク評価
リスクアセスメントについて、JIS Q 31000:2010で以下のように説明されています。
リスクアセスメントとは、リスク特定、リスク分析及びリスク評価を網羅するプロセス全体を指す。
- リスク特定のねらいは、組織の目的の達成を実現、促進、妨害、阻害、加速又は遅延する場合もある事象に基づいて、リスクの包括的な一覧を作成することである。
- リスク分析は、リスク評価及びリスク対応の必要性、並びに最適なリスク対応の戦略及び方法に関する意思決定に対するインプットを提供する。
- リスク評価の目的は、リスク分析の成果に基づき、どのリスクへの対応が必要か、対応の実践の優先順位はどうするかについて意思決定を手助けすることである。
【出典:JIS Q 31000:2010】
表2のリスク一覧は、リスク特定を行った結果得られた内容になります。
また、この後の問題文にある、「各リスクへの対応の要否を検討した」とあるのはリスク評価のプロセスが該当します。
続いて、リスク分析のプロセスとして、JIS Q 310002010及びJIS Q 31010-2012に沿って、(c:リスクが顕在化したときの結果)と、(d:リスクの起こりやすさ)を組み合わせてリスクのレベルを決定した。最後に、(b:リスク評価)のプロセスとして各リスクへの対応の要否を検討した。その結果、B取締役は、表2のリスク2への対応が必要と判断した。
【出典:情報処理安全確保支援士試験 平成30年度 春期 午後1問3(一部、加工あり)】
c:リスクが顕在化したときの結果、d:リスクの起こりやすさ
リスク分析について、JIS Q 30101-2012で以下のように説明されています。
リスク分析は、既存の管理策の有無及び有効性を考慮して、特定したリスク事象の結果及び発生確率の決定で構成する。その結果と発生確率とを組み合わせて、リスクのレベルを決定する。
【出典:JIS Q 31010:2012】