JIS Q 2001:2001に規定されたリスク算出の定量的評価を、組織のセキュリティ対策の優先度を検討するリスク分析に適用したものはどれか。

ア	過去に発生した被害件数と対策の難易度で評価する。
イ	攻撃に対する対処時間と被害の顕在性で評価する。
ウ	攻撃元の特定可否と攻撃手法の新しさで評価する。
エ	被害が発生する確率と被害額で評価する。

JIS Q 2001:2001に規定されたリスク算出の定量的評価を、組織のセキュリティ対策の優先度を検討するリスク分析に適用したものはどれか。

ア	過去に発生した被害件数と対策の難易度で評価する。
イ	攻撃に対する対処時間と被害の顕在性で評価する。
ウ	攻撃元の特定可否と攻撃手法の新しさで評価する。
エ	被害が発生する確率と被害額で評価する。

解答：エ

＜解説＞

JIS Q 2001とは、企業活動を行う上でのリスクをコントロールするためのJIS規格である。

リスクが顕在化した場合の影響の大きさを定量的又は定性的に把握することが望ましい。

定量的評価

リスクが顕在化する確からしさ又は発生確率，及びリスクが顕在化した場合の影響の大きさを数量的に把握すること

定性的評価

リスクが顕在化する確からしさ又は発生確率，及びリスクが顕在化した場合の影響の大きさをランク付けなどで把握すること

ア	×	被害件数は、定量的評価である。 対策の難易度は、定性的評価である。
イ	×	対処時間は、定量的評価である。 被害の顕在性は、定性的評価である。
ウ	×	攻撃元は、定性的評価である。 攻撃手法は、定性的評価である。
エ	○	被害が発生する確率は、定量的評価である。 被害額は、定量的評価である。

分類

1. 高度共通　午前1
2. テクノロジ系
3. 技術要素
4. セキュリティ
5. 情報セキュリティ管理