リスクマネジメントの最初のSETPである「リスク分析」について理解を深める。
リスク分析は、以下でも述べましたが、次のステップで行われます。
①リスク因子の特定(情報資産とリスクを明らかにする)
②リスクの算出(リスクを数値化する)
http://sc.seeeko.com/archives/cat_125459.html

では、過去問題を解いてみよう。
問34 情報システムのリスク分析に関する記述のうち、適切なものはどれか。
ア リスクには、投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは、投機的リスクである。
イ リスクの予想損失額は、損害予防のために投入されるコスト、復旧に要するコスト、及びほかの手段で業務を継続するための代替コストの合計で表される。
ウ リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこに、どのように潜在しているかを識別し、その影響の大きさを測定する。
エ リスクを金額で測定するリスク評価額は、損害が現実のものになった場合の1回当たりの平均予想損失額で表される。
(H19SU午前問題 問34より)
ア:純粋リスクは、セキュリティインシデント、災害、事故などの、マイナスな損失しかないリスクです。一方の投機的リスクは、ビジネスにおける海外進出など、マイナスの損失のリスクもあれば、逆に大きくプラスの利益が出る可能性があるリスクです。情報セキュリティのためのリスク分析の対象は、純粋リスクです。
イ:予防のために投入されるコストは含みません。
ウ:正解選択肢です。
エ:発生する確率も考慮します。

定性的リスク分析と定量的リスク分析
①定性的リスク分析
「特定したリスクの発生確率や影響度を評価してリスクに優先順位を付ける(平成29年春期午前問53不正解選択肢)」ことです。
 ※参考:JRAM(JIPDEC Risk Analysis Method)
JIPDECが開発した定性的リスク分析手法。JRAM質問表を用いた脆弱性分析を行う。

②定量的リスク分析
「特定したリスクがプロジェクト目標全体に与える影響を数量的に分析する(平成29年春期午前問53)」ことです。

まず、定性的リスク分析を実施し、その後、定性的リスク分析の結果を踏まえ、定量的リスク分析を行います。

■平成29年春期 午前 問53
問53 PMBOKガイド第5版によれば,定量的リスク分析で実施することはどれか。
ア 特定したリスクがプロジェクト目標全体に与える影響を数量的に分析する。
イ 特定したリスクの発生確率や影響度を評価してリスクに優先順位を付ける。
ウ 特定したリスクへの対応計画を策定する。
エ プロジェクトに影響を与える可能性があるリスクを洗い出す。
 
正解は、アです。

■過去問(H23秋SM午前Ⅱ)
問18 定性的リスク分析の活動として,適切なものはどれか。
ア 検討対象以外の全ての不確実な要素をベースライン値に固定した状態で,プロジェクトの個々の不確定要素が,検討対象の目標に与える影響の度合いを調べる。
イ デシジョンツリー図を使用して,選択肢に対する期待金額価値(EMV)を比較する。
ウ リスクに関するインタビューを通じて,各WBS要素に対する三点見積りをする。
エ リスクの発生確率と影響度を評価して,識別したリスクに等級付けをする。

■H24春PM午前Ⅱ
問14 PMBOKのリスクマネジメントでは,定性的リスク分析でリスク対応計画の優先順位を設定し,定量的リスク分析で数値によるリスクの等級付けを行う。定性的リスク分析で使用されるものはどれか。
ア 感度分析
ウ デシジョンツリー分析
イ 期待金額価値分析
エ 発生確率・影響度マトリックス

もう一問、解いてみよう。
問53 セキュリティ状況の把握、リスク分析、セキュリティ対策の計画、セキュリティ対策の実施のプロセスにおいて、リスク分析で得られる結果はどれか。
ア 洗い出した脆弱性
イ 組み込まれたセキュリティコントロール
ウ セキュリティ仕様
エ 損失の大きさ
(H19初級シスアド秋 午前)これは簡単だっただろう。
アの洗い出された脆弱性と迷った方もいるかもしれない。しかし、洗い出すだけは「分析」とはいえません。単なる作業なので。正解はエ。