JRAM（情報セキュリティリスクアセスメント方法論：Japan Risk Assessment Method）

 承知しました！

ここでは「JRAM（情報セキュリティリスクアセスメント方法論：Japan Risk Assessment Method）」 をテーマに、ネットワークスペシャリスト試験風 択一問題10問を作成し、すべてに解答・解説を付けます。

---

📘 JRAMに関する択一問題（10問）

---

問題1

JRAMの目的として最も適切なものはどれか。

A. ネットワーク性能の最適化

B. 情報セキュリティにおけるリスクアセスメントの標準化

C. ソフトウェア開発ライフサイクルの管理

D. プロジェクトマネジメントの効率化

正解: B

解説: JRAMは情報セキュリティ分野で、リスクの識別・評価・対応を標準化するための方法論。

---

問題2

JRAMにおけるリスクとは何を意味するか。

A. システム障害の発生頻度

B. 脅威が脆弱性を突くことによる資産への影響の組み合わせ

C. システムの稼働率

D. 利用者の利便性の低下

正解: B

解説: リスクは「資産 × 脅威 × 脆弱性」による影響として定義される。

---

問題3

JRAMで最初に行うべきプロセスはどれか。

A. リスク対応の選択

B. 資産の特定

C. 残留リスクの受容

D. コスト見積り

正解: B

解説: JRAMの第一ステップは「資産の特定と重要度評価」である。

---

問題4

JRAMにおける脅威の定義として正しいものはどれか。

A. システムの利用者

B. 資産を損なう可能性のある外的要因

C. ハードウェアの故障率

D. サービス品質の低下

正解: B

解説: 脅威は資産に損害を与える可能性のある外的・人的要因のこと。

---

問題5

JRAMにおいてリスク評価の尺度として最も利用されるのはどれか。

A. 開発工数

B. 発生可能性と影響度

C. ネットワーク遅延時間

D. システムの処理速度

正解: B

解説: リスクは「発生可能性」と「影響度」の2軸で評価される。

---

問題6

JRAMに基づくリスクアセスメントで「低減」策の例はどれか。

A. 保険加入

B. クラウド事業者との契約によるSLA保証

C. アクセス制御の強化

D. リスク受容の宣言

正解: C

解説: アクセス制御強化により脅威の影響を減少させるのは「低減」。

---

問題7

JRAMの実施過程で「残留リスク」が生じるのはどの段階か。

A. 資産特定

B. リスク分析

C. リスク対応後

D. 監査の実施

正解: C

解説: どんな対応策をしてもゼロにはできず、対策後に残るリスクを残留リスクという。

---

問題8

JRAMの成果物として最も適切なものはどれか。

A. ソースコード一覧

B. リスク対応計画書

C. SLA契約書

D. バックアップメディア

正解: B

解説: JRAMの実施結果は「リスク対応計画」として文書化される。

---

問題9

JRAMにおけるリスク受容が適切となるケースはどれか。

A. 発生確率も影響度も高いリスク

B. 発生確率が低く影響度も小さいリスク

C. 発生確率は高いが影響度が小さいリスク

D. 発生確率が中で影響度が高いリスク

正解: B

解説: コストに見合わない小規模リスクは受容が妥当。

---

問題10

JRAMが国際規格ISO/IEC 27005と関係する部分はどれか。

A. プログラミング言語仕様

B. 情報セキュリティリスクマネジメントの枠組み

C. ネットワーク性能評価指標

D. サーバの稼働率測定方法

正解: B

解説: ISO/IEC 27005は情報セキュリティリスクマネジメントの国際規格で、JRAMはこれに準拠した日本の実施方法論。

---

✅ これで 択一式問題10問 + 解答・解説 を完成しました。

👉 次は 午後Ⅰ形式（短文解析・穴埋め問題） や 午後Ⅱ形式（シナリオベース） のJRAM問題も作成しましょうか？