情報セキュリティ管理定義問題
情報セキュリティマネジメントにおいて、リスク評価の基本式として一般的に用いられる計算式はどれか。
A.リスク = 脅威 × 脆弱性 × 資産価値
✗ この計算式では3つの要素を掛け合わせるため過度に複雑になり、実務的なリスク評価には不適切です。
B.リスク = 脅威の尤度 × 影響度← 正解
✓ 正解です。リスク評価の基本式はリスク=脅威の尤度(発生確率)×影響度(被害の大きさ)で表され、この2つの要素の積として定義されます。
C.リスク = 資産価値 + 脆弱性
✗ 資産価値と脆弱性を加算する方式はリスク評価の標準的な定義ではなく、誤った計算方法です。
D.リスク = 脅威 − 対策効果
✗ リスク評価に対策効果を減算する方法は、対策後のリスク残存度を表すもので、基本的なリスク評価式ではありません。