令和元年度 秋期 ITパスポート試験 問86 解説 リスク対応の分類

この問題は、リスクマネジメントにおける「リスク対応の4分類」を理解しているかを問うものです。リスク低減とは、リスクそのものを取り除くのではなく、発生確率を下げたり、発生した際の影響を小さくしたりするための対策をとることを指します。

選択肢の中から「リスクを小さくする（対策を打つ）」ものを選べば正解にたどり着けます。

リスク対応の4分類と見分け方

リスク対応は、目的や手法の違いによって以下の4つに整理されます。試験ではそれぞれの定義をキーワードで覚えるのが効率的です。

リスク回避：リスクの原因そのものをなくすこと。 今回の選択肢アのように、サービスそのものをやめたり、危険なプロジェクトから撤退したりすることが該当します。リスクをゼロにするための手段です。

リスク低減：リスクの発生確率を下げたり、発生したときの影響を軽減したりする対策を打つこと。 今回の正解である選択肢エが該当します。ノートPCの紛失という事象は避けられなくても、暗号化という「対策」を行うことで、情報漏えいという被害の影響を最小限に抑えています。他にも、ファイアウォールの設置や、セキュリティ教育の実施などもここに分類されます。

リスク移転：リスクを他社へ転嫁すること。 選択肢イが該当します。保険への加入や、システムの運用を外部ベンダーに委託することが代表例です。自分だけで責任を負うのではなく、金銭的・実務的な負担を他に分担させる考え方です。

リスク受容：リスクをそのまま許容すること。 選択肢ウが該当します。すでに対策が十分である、あるいは対策費用が被害額を上回るため、何もせずリスクを放置（受容）する判断です。

実務と試験での活用方法

これらの分類は、情報セキュリティマネジメントのプロセスにおいて非常に重要です。システム導入やセキュリティ計画を立てる際、現場では「何でもかんでも対策をする」のではなく、コストとリスクを天秤にかける必要があります。

試験問題では、「対策を打ってリスクを抑える」という文脈があればリスク低減、「やめる」なら回避、「他人に任せる（保険含む）」なら移転、「何もしない」なら受容といった判断基準で整理すると、ひねられた問題にも対応できるようになります。特に「リスクの低減」は、暗号化、アクセス権の設定、パスワード管理など、日常的なセキュリティ対策と結びつくことが多いため、最も出題されやすい項目です。

IPA 独立行政法人 情報処理推進機構：情報セキュリティマネジメントの概念 https://www.ipa.go.jp/security/guide/management/index.html 総務省：国民のための情報セキュリティサイト リスクマネジメント https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_security02.html