平成28年度 秋期 ITパスポート試験 公開問題 問89 解説 リスク対応策

この問題では、情報セキュリティにおけるリスク対応の4つの選択肢のうち、A社が取った行動がどれに該当するかを判断します。判断のポイントは、リスクの発生可能性が低いと判断した結果、どのような行動を選択したかです。

リスク対応の4つの分類

情報セキュリティにおけるリスク対応は、一般的に以下の4つに分類されます。

• リスクの回避 (Risk Avoidance) リスクの原因となる活動やシステムを中止・変更することで、リスクそのものをなくす方法です。例えば、危険な地域への事業展開を中止する、セキュリティリスクの高いソフトウェアの使用をやめる、などが該当します。
• リスクの低減 (Risk Reduction / Mitigation) リスクの発生可能性を低くしたり、発生した場合の影響を小さくするために、技術的・組織的な対策を講じる方法です。例えば、ファイアウォールの設置、従業員へのセキュリティ教育の実施、バックアップ体制の強化、などが該当します。
• リスクの移転 (Risk Transfer) リスクを第三者に移す方法です。最も一般的なのは、保険への加入や、外部委託などが該当します。例えば、火災保険に加入することで、火災による損害リスクを保険会社に移転します。
• リスクの受容 (Risk Acceptance) リスクを分析した結果、そのリスクを受け入れることを決定する方法です。これは、リスクの発生可能性が非常に低い、あるいは発生した場合の影響が軽微であると判断された場合や、対策にかかるコストがリスクによる損害よりも大きいと判断された場合などに選択されます。この場合、特別な対策は講じません。

問題の解説

A社は、川の氾濫によるサーバルーム浸水のリスクを認識しました。しかし、過去100年で1度しか発生しておらず、「その可能性はほとんどない」と判断しました。その結果、「特に対策は講じない」ことを決定しています。

これは、リスクの発生可能性が極めて低いと判断したため、そのリスクをそのまま受け入れるという対応です。したがって、これは「リスクの受容」に該当します。

• ア リスクの移転：保険加入や外部委託のような、リスクを他者に移す行為ではありません。
• イ リスクの回避：サーバルームの移転も検討しましたが、「ほとんどないと判断し」対策を講じないことを決定しており、リスクの原因となる状況を中止・変更したわけではありません。
• エ リスクの低減：浸水対策（防水壁の設置や、サーバーをかさ上げするなど）を講じているわけではありません。

知識の活用場面

このリスク対応の4分類は、情報セキュリティに限らず、事業継続計画（BCP）やプロジェクトマネジメントなど、様々な分野でリスク管理を行う際の基本的な考え方となります。

例えば、新しいシステムを導入する際に、どのようなセキュリティリスクが考えられるか、そのリスクが発生する可能性はどの程度か、発生した場合の影響はどの程度か、などを分析します。その分析結果に基づいて、リスクを回避するのか、対策を講じて低減するのか、保険で移転するのか、あるいは許容できる範囲として受け入れるのか、といった意思決定を行います。

この問題のように、リスクの発生可能性を「ほとんどない」と判断して対策を講じないという決断は、経営層がリスクとコスト（対策費用）を比較衡量した結果として行われるものです。しかし、その判断が甘かった場合、実際にリスクが発生した際に大きな損害につながる可能性もあります。そのため、リスクの評価は慎重に行う必要があります。

参考リンク

• 情報セキュリティリスクアセスメントとリスク対応とは？初心者向けにわかりやすく解説
• 「リスク受容」の考え方と具体的な事例｜リスクマネジメントの基本
• リスクマネジメント - Wikipedia