平成28年度 春期 ITパスポート試験 問77 解説 リスク対応の分類

リスク対応の4分類を見極める

リスク対応の4分類は、言葉の定義を正しく理解するだけで確実に得点できる項目です。今回は「リスク移転」が問われていますが、選択肢の内容を以下のキーワードと照らし合わせるのが最も早い解き方です。

• 移転：損害を自分以外の人や組織（保険会社など）に肩代わりさせる
• 回避：リスクがある活動そのものをやめる
• 低減：対策を行って被害や発生確率を減らす
• 受容：対策コストが見合わないため、損害を許容する

正解の「イ」は、保険会社に損害の金銭的負担を転嫁する行為なので「リスク移転」に該当します。

リスク対応の4つのパターン

企業活動において、すべてのリスクをゼロにすることは不可能であり、コストもかかりすぎます。そのため、リスクごとに適切な戦略をとる必要があります。

リスク低減（選択肢ア） 技術的な対策やルールの整備により、リスクを完全に消すことはできなくても、発生する確率を下げたり、発生した時の被害を小さくしたりすることです。ファイアウォールの設置や、セキュリティ教育の実施などがこれにあたります。

リスク回避（選択肢エ） リスクが高いと判断される事業や、脆弱性が排除できないシステム利用そのものを取りやめることです。例えば、ウイルス感染のリスクが高すぎる旧式のOSの使用を中止することも回避の一種です。

リスク受容（選択肢ウ） リスクへの対策コストが、想定される損害額よりも大きい場合、あえて何も対策を講じずにそのリスクを「受け入れる」判断です。ただし、放置するのではなく「被害が出たら自社で負担する」という経営的な意思決定が必要です。

なぜこの知識が実務で重要なのか

ITパスポート試験でこの範囲が頻出なのは、情報セキュリティ対策が単なる技術の問題ではなく「経営判断」の問題だからです。

実際の現場では、すべての脅威に対して完璧な防御を敷く予算も時間もありません。そのため、まずは自社にとってどのリスクが重大かを評価（リスクアセスメント）し、その上で「保険をかけてリスクを移転するべきか」「システムの刷新でリスクを低減するべきか」「あるいはこの事業自体から撤退すべきか」を選択していくプロセスが不可欠です。この概念を知っておくことで、エンジニアや事務職として働く際にも、なぜセキュリティ対策にコストをかけるのか、あるいはなぜ一定のリスクを残すのかといった経営陣の視点を理解できるようになります。

参考リンク

• 情報セキュリティマネジメントの基礎：リスク対応の4分類（ITパスポート対策）
• 【技術士・情報処理】リスクマネジメントの4つの対応策を実例でわかりやすく解説
• 情報セキュリティマネジメントシステム（ISMS）におけるリスクアセスメントとリスク対応（JIS Q 27001関連）