ITパスポート試験 / 令和3年度 ITパスポート試験 公開問題 / 問99
certification-simodake-work

令和3年度 ITパスポート試験 公開問題 問99 解説 リスクマネジメント

情報セキュリティのリスクマネジメントにおいて, リスク移転, リスク回避, リスク低減, リスク保有などが分類に用いられることがある。これらに関する記述として, 適切なものはどれか。

  1. ア リスク対応において, リスクへの対応策を分類したものであり, リスクの顕在化に備えて保険を掛けることは, リスク移転に分類される。 ✓ 正答
  2. イ リスク特定において, 保有資産の使用目的を分類したものであり, マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は, リスク低減に分類される。
  3. ウ リスク評価において, リスクの評価方法を分類したものであり, 管理対象の資産がもつリスクについて, それを回避することが可能かどうかで評価することは, リスク回避に分類される。
  4. エ リスク分析において, リスクの分析手法を分類したものであり, 管理対象の資産がもつ脆弱性を客観的な数値で表す手法は, リスク保有に分類される。

解説

この問題は、リスクマネジメントにおける4つの対応策(回避・低減・移転・保有)の定義を正しく理解しているかを問うものです。ポイントは、それぞれの選択肢がリスク対応のどのプロセスに該当するかを見極め、各手法の意味と一致しているかを判断することです。正解のアについては「リスクが顕在化した際の影響を他者に委ねる(保険をかける=移転)」という定義が正確であるため、これが正解となります。

リスクマネジメントにおける4つの対応策 リスク対応には、リスクの大きさや性質に応じて以下の4つの戦略があります。

  1. リスク回避:リスクの原因となる活動そのものを中止することです。例えば、情報漏洩のリスクを避けるために、機密情報をクラウドに保存しないと決めることなどが該当します。
  2. リスク低減:セキュリティ対策を講じることで、リスクの発生確率や影響度を小さくすることです。マルウェア対策ソフトの導入、アクセス制限の設定などがこれにあたります。
  3. リスク移転:リスクを第三者に引き受けてもらうこと、あるいは経済的な影響を転嫁することです。保険への加入や、専門業者へのアウトソーシングが代表例です。
  4. リスク保有:リスクを認識した上で、あえて特別な対策をとらず、そのリスクを許容することです。発生確率が非常に低いリスクに対し、対策費用の方が高くつく場合などに選ばれます。

試験での活用方法と学習のコツ この知識は、単なる定義問題としてだけでなく、事例形式の問題でも頻出です。例えば「顧客情報をインターネットから遮断されたネットワークで管理することにした」とあればリスク回避、「ファイアウォールを設置した」とあればリスク低減、「損害賠償保険に加入した」とあればリスク移転といったように、具体的な対策内容から対応策の種類を導き出せるようにしておくことが合格への近道です。

選択肢が「リスク特定」「リスク評価」「リスク分析」といった用語を混ぜてきて混乱させるケースがありますが、これらはあくまでリスクマネジメントの流れ(プロセス)を示す用語です。「リスク対応」のフェーズで何を選択するか、という文脈を常に意識してください。

情報セキュリティマネジメント(IPA 独立行政法人 情報処理推進機構) https://www.ipa.go.jp/security/awareness/administrator/security-management/ug65p90000000q1g.html リスクマネジメントとは(IT用語辞典 e-Words) https://e-words.jp/w/%E3%83%AA%E3%83%BC%E3%82%B9%E3%82%AF%E3%83%9E%E3%83%8D%E3%82%B8%E3%83%A1%E3%83%B3%E3%83%88.html

学習の記録にははてなブックマーク!

気づいたこと・覚えたことをコメントにメモしよう

このエントリーをはてなブックマークに追加