<p><!-- { "title": "IPA午前Ⅱ：リスク値の計算", "primary_category": "ITストラテジ", "secondary_categories": ["情報セキュリティ", "プロジェクトマネジメント"], "tags": ["IPA", "午前Ⅱ", "リスク管理", "リスク値", "情報処理技術者試験"], "summary": "IPA午前Ⅱ試験で問われるリスク値の計算方法について、その定義、計算式、および具体的な手順を解説します。発生確率と損害額からリスクを定量化する手法を理解します。", "mermaid": true, "verify_level": 2, "tweet_hint": "IPA午前Ⅱのリスク値計算をマスター！発生確率と損害額からリスクを定量化する基本を解説。 #IPA #午前Ⅱ #リスク管理", "link_hints": [] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">IPA午前Ⅱ：リスク値の計算</h1> <p>リスク値の計算は、情報システムにおける潜在的な脅威の発生確率と、それが引き起こす損害額を掛け合わせることで、リスクの大きさを定量的に評価する。</p> <h3 class="wp-block-heading">背景</h3> <p>情報システムが組織のビジネス活動において不可欠となるにつれて、サイバー攻撃、システム障害、自然災害といった様々なリスクへの対応が重要度を増している。これらのリスクを効率的かつ効果的に管理するためには、漠然とした危険性として捉えるのではなく、その影響度を数値で評価し、優先順位を付けて対策を講じる必要がある。</p> <h3 class="wp-block-heading">問題点と定義</h3> <p>リスク管理の初期段階では、特定されたリスクの「重大性」をどのように客観的に評価するかが課題となる。ここで用いられるのが「リスク値（Risk Value）」という概念である。リスク値は、以下の二つの要素によって定量的に定義される。</p> <ol class="wp-block-list"> <li><p><strong>発生確率 (Probability of Occurrence, P)</strong>：特定の脅威が具体的な損害を引き起こす可能性。通常、0から1の間の数値（または0%から100%）で表される。</p></li> <li><p><strong>損害額 (Loss Amount, L)</strong>：脅威が現実となった場合に発生する金銭的、非金銭的な損失を金銭換算したもの。復旧費用、ビジネス損失、信用失墜などが含まれる。</p></li> </ol> <h3 class="wp-block-heading">計算/手順</h3> <p>リスク値（R）は、発生確率（P）と損害額（L）の積として計算される。</p> <h4 class="wp-block-heading">計算式</h4> <p>$$R = P \times L$$</p> <ul class="wp-block-list"> <li><p><strong>R</strong>: リスク値</p></li> <li><p><strong>P</strong>: 発生確率 (0.0 ～ 1.0)</p></li> <li><p><strong>L</strong>: 損害額 (円など)</p></li> </ul> <h4 class="wp-block-heading">具体例</h4> <p>あるシステムにおいて、不正アクセスによる情報漏洩のリスクを評価する。</p> <ol class="wp-block-list"> <li><p><strong>リスク識別</strong>: 不正アクセスによる顧客情報の漏洩。</p></li> <li><p><strong>発生確率の評価 (P)</strong>: 過去のデータや専門家の意見に基づき、今後1年間に情報漏洩が発生する確率を<strong>0.05 (5%)</strong>と評価する。</p></li> <li><p><strong>損害額の評価 (L)</strong>: 情報漏洩が発生した場合、対応費用（フォレンジック調査、顧客への通知、システム改修など）や信用失墜による機会損失を合計し、<strong>2,000万円</strong>と評価する。</p></li> <li><p><strong>リスク値の計算</strong>: $$R = 0.05 \times 20,000,000 \text{円} = 1,000,000 \text{円}$$ したがって、このリスクのリスク値は<strong>100万円</strong>となる。</p></li> </ol> <p>この計算により、年間で平均100万円の損失が発生する可能性があると定量的に把握できるため、他のリスクと比較し、対策の優先順位を決定する際の客観的な指標となる。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["リスク管理の開始"] --> B{"リスク識別"}; B -- 脅威の特定 --> C["発生確率の評価 (P)"]; B -- 影響の特定 --> D["損害額の評価 (L)"]; C -- 数値化 --> E["発生確率 P(\"例: 0.05\")"]; D -- 数値化 --> F["損害額 L(\"例: 2,000万円\")"]; E & F --> G["リスク値 R = P × L"]; G -- 対策検討の指標 --> H{"リスク対応策の決定"}; H --> I["リスクの低減/移転/受容"]; </pre></div> <h3 class="wp-block-heading">要点</h3> <ul class="wp-block-list"> <li><p>リスク値は「発生確率」と「損害額」の積で計算される。</p></li> <li><p>リスクの定量化により、客観的な評価と優先順位付けが可能になる。</p></li> <li><p>計算結果は、リスク対応策の費用対効果を検討する上で重要な情報となる。</p></li> <li><p>発生確率と損害額の評価には、過去データ、専門家の知見、業界標準などが用いられる。</p></li> </ul>

graph TD
    A["リスク管理の開始"] --> B{"リスク識別"};
    B -- 脅威の特定 --> C["発生確率の評価 (P)"];
    B -- 影響の特定 --> D["損害額の評価 (L)"];
    C -- 数値化 --> E["発生確率 P(\"例: 0.05\")"];
    D -- 数値化 --> F["損害額 L(\"例: 2,000万円\")"];
    E & F --> G["リスク値 R = P × L"];
    G -- 対策検討の指標 --> H{"リスク対応策の決定"};
    H --> I["リスクの低減/移転/受容"];