平成22年度 秋期 ITパスポート試験 問30 解説 リスクマネジメント

リスク対応の4分類を見極める

この問題は、リスクマネジメントにおける「リスク対応の4分類」を理解していれば即座に正解できます。ポイントは、とった行動が「リスクをゼロにするものか」「リスクの影響を抑えるものか」「他人に肩代わりさせるものか」「あえて受け入れるものか」のどれに当てはまるかを判断することです。

今回のように、データセンタを分散させて「万が一の災害時に全滅するリスクを抑える」対策は、発生した際のダメージを小さくする取り組みであるため、「リスク低減」に分類されます。

リスクへの4つの向き合い方

組織が直面するリスクに対して、とるべき対応は以下の4つに体系化されます。

• リスク回避（Avoidance） リスクの原因そのものを排除することです。例えば、災害リスクが高い地域での事業そのものを中止する、あるいは個人情報を収集しないことで漏えいリスクをゼロにする判断がこれに当たります。
• リスク低減（Reduction/Mitigation） リスクの発生確率や、発生した際の影響度を小さくする対策です。今回の問題のように、システムを冗長化（二重化・分散化）して事業停止時間を短くしたり、セキュリティ教育を実施して人的ミスを減らしたりすることが典型例です。
• リスク移転（Transfer） リスクを他者へ肩代わりさせることです。代表的な例は保険への加入です。事故が起きた際の損害を保険会社がカバーすることで、自社の経済的ダメージを外部へ移転します。
• リスク保有（Retention） 発生するリスクをあえて受け入れることです。対策にかかるコストが、リスク発生時の損失よりも大きいと判断される場合や、リスク発生の可能性が極めて低い場合に、何もせず（あるいは許容範囲として）そのまま保有することを選択します。

問題の意図と解き方の筋道

試験では「ある対策が4分類のどれに該当するか」を問う問題が頻出します。この問題で最も混同しやすいのは「回避」と「低減」です。

判断の分かれ目は「その行動をとった後も、リスクが潜在的に残っているかどうか」です。 データセンタを2箇所に分けても、両方の拠点が同時に被災する可能性（ゼロではない）や、他のシステムトラブルが発生する可能性は残ります。つまり「リスクを小さくしている」だけであり、リスクの発生源を断ったわけではありません。

この思考プロセスを定着させることで、似たような選択肢が並んだ場合でも、論理的に消去法で正解を導き出せるようになります。

実社会におけるリスクマネジメント

この知識は、エンジニアとしてインフラ設計に携わる際や、ビジネスの現場でプロジェクト管理を行う際に直結します。

例えば、クラウドサービスを利用する場合、特定のリージョン（データセンター群）がダウンすることを見越して、複数のリージョンで冗長構成を組むのは「リスク低減」の最も一般的な手法です。また、サイバー保険への加入は「リスク移転」、小規模なシステムで高価なバックアップ設備を導入せず、障害時は手動復旧で対応することを選択するのは「リスク保有」という判断になります。

このように、単に試験のための暗記とするのではなく、現場でコストとリスクのバランスをとるための意思決定基準として捉えることが大切です。

参考リンク

• 【ITパスポート】リスクマネジメント（リスク対応の4分類）をわかりやすく解説
• AWSでのマルチリージョン構成による可用性向上とリスク管理の実際
• ISO 31000（リスクマネジメント）の国際規格におけるリスク対応の定義