平成30年度 春期 ITパスポート試験 公開問題 問61 解説 リスク対応の分類
情報セキュリティリスクへの対応には,リスク移転,リスク回避,リスク受容及びリスク低減がある。リスク受容に該当する記述はどれか。
- ア セキュリティ対策を行って,問題発生の可能性を下げること
- イ 特段の対応は行わずに,損害発生時の負担を想定しておくこと ✓ 正答
- ウ 保険などによってリスクを他者などに移すこと
- エ 問題の発生要因を排除してリスクが発生する可能性を取り去ること
解説
この問題は、情報セキュリティにおけるリスク対応の4つの分類を整理することで即座に解けます。リスク受容とは、対策費用が損害額を上回る場合や、発生確率が極めて低い場合に、あえて何の対策もしないという選択を指します。
リスク対応の4分類
リスク対応には、以下の4つの戦略があります。これらを理解しておけば、選択肢の文章を読んだだけでどの用語の説明かが判別できるようになります。
- リスク低減:セキュリティ対策(ファイアウォールの導入、暗号化、社員教育など)を実施し、リスクの発生可能性や損害を小さくすることです。選択肢アの内容です。
- リスク移転:保険への加入や、専門業者へのアウトソーシングなどを行い、リスクに伴う経済的な負担を第三者に転嫁することです。選択肢ウの内容です。
- リスク回避:リスクの原因となる活動自体を中止し、そのリスクを完全に取り去ることです。例えば「海外からのアクセスを遮断する」「特定のシステムを使わない」などがこれにあたります。選択肢エの内容です。
- リスク受容:リスクをそのまま受け入れ、特段の対策を講じないことです。ただし、何も考えずに放置するのではなく、発生した際の損害を自ら負担する覚悟(あるいは許容範囲内であるという判断)を前提とします。選択肢イの内容です。
実務における考え方
ITパスポート試験では、これら4つの言葉が入れ替わった選択肢がよく出題されます。実務の現場では、すべてのリスクに対して過剰な対策を施すとコストが膨大になり、業務効率も低下してしまいます。そのため、まずはリスクを洗い出し(リスク特定)、その影響度と発生確率を評価(リスク分析・評価)した上で、上記の4つから最もコストパフォーマンスの良い戦略を選ぶという判断プロセスが必要になります。
試験対策としては、単に定義を暗記するだけでなく、「保険=移転」「原因をなくす=回避」「対策する=低減」「なにもしない=受容」というキーワードで結びつけて覚えるのが最も効率的です。
情報セキュリティマネジメントシステム(ISMS)の概要 - IPA 独立行政法人 情報処理推進機構 リスク対応 - Wikipedia 情報セキュリティのリスクマネジメント(リスク対応)とは - ITパスポート試験ドットコム
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
