平成28年度 秋期 ITパスポート試験 公開問題 問62 解説 リスク対応策

セキュリティリスクへの対応策の基本を理解する

この問題は、セキュリティリスクへの対応策が4つに分類されることを理解しているかが問われています。それぞれの対応策の定義を把握し、問題文の事例がどの定義に合致するかを判断することが解き方のポイントです。

4つのリスク対応策とその事例

セキュリティリスクへの対応策は、大きく分けて以下の4つに分類されます。

• リスク移転（Risk Transfer）: リスクが顕在化した場合の経済的な影響を、第三者に移すことです。
• リスク回避（Risk Avoidance）: リスクの原因となる活動や事業そのものを中止・回避することです。
• リスク受容（Risk Acceptance）: リスクの発生確率や影響度を考慮した結果、そのリスクを受け入れることです。
• リスク低減（Risk Mitigation）: リスクの発生確率を低くしたり、発生した場合の影響度を小さくしたりするために、対策を講じることです。

これらの定義を踏まえて、選択肢を見ていきましょう。

• ア セキュリティ対策を行って，問題発生の可能性を下げた。 これは、セキュリティ対策という具体的な行動により、「問題発生の可能性を下げる」という「リスク低減」の定義に直接合致します。
• イ 問題発生時の損害に備えて，保険に入った。 保険は、万が一問題が発生した場合の損害を保険会社が負担してくれるものです。これは、リスクが第三者（保険会社）に移転しているため、「リスク移転」に該当します。
• ウ リスクが小さいことを確認し，問題発生時は損害を負担することにした。 リスクが小さいと判断した上で、そのリスクを受け入れ、発生時の損害も自社で負担するという意思決定は、「リスク受容」に該当します。
• エ リスクの大きいサービスから撤退した。 リスクが大きいサービスから撤退するということは、そのリスクの原因となる活動自体を止めることです。これは、「リスク回避」に該当します。

したがって、リスク低減に該当する事例は「ア」となります。

なぜこの知識が重要なのか

ITシステムを運用・開発していく上で、リスクは常に存在します。これらのリスクにどう対応するかは、事業継続性や情報資産の保護にとって非常に重要な判断となります。

例えば、企業が新しいクラウドサービスを導入する際、そのサービスがサイバー攻撃を受けた場合の情報漏洩リスクが考えられます。このリスクに対して、

• リスク低減: 最新のセキュリティソフトウェアを導入する、アクセス権限を厳格に管理する、従業員にセキュリティ教育を実施するといった対策が考えられます。
• リスク移転: クラウドサービス事業者によるセキュリティ保険に加入したり、自社で情報漏洩保険に加入したりすることが考えられます。
• リスク回避: そもそもそのクラウドサービスを導入しない、あるいはリスクの高いデータをそのサービスに保存しないという選択肢もあります。
• リスク受容: サービス導入によるメリットが、発生しうるリスクの損害よりも大きいと判断し、万が一の事態も覚悟してサービスを導入・運用するという選択肢もあります。

これらの対応策を理解し、状況に応じて適切なものを選択・組み合わせることが、効果的なセキュリティ対策に繋がります。ITパスポート試験では、こうした基本的なセキュリティマネジメントの考え方を問う問題が多く出題されます。

参考リンク

• 情報セキュリティリスク対応とは？4つの対策と具体例を解説
• 情報セキュリティリスクアセスメントの進め方
• リスクマネジメント - Wikipedia