令和4年度 ITパスポート試験 公開問題 問76 解説 リスク対応の分類

この問題は、リスクマネジメントにおける「リスク対応」の4分類を理解しているかが問われています。判断のポイントは「発生した損失を誰が負担するか」という点にあります。保険への加入は、発生した損害を保険会社という外部組織と分担（移転）することになるため、正解は「リスク共有（リスク移転）」となります。

リスク対応の4分類

リスクマネジメントでは、特定したリスクに対して以下の4つのいずれかの対応をとります。

1. リスク回避：リスクそのものをなくすこと リスクの原因を取り除く対応です。例えば、情報の漏えいが心配なので「そもそもクラウド上にデータを置かない」「インターネットから切り離したネットワークにする」といった、リスク源を断つ選択肢を指します。

2. リスク共有（リスク移転）：リスクの影響を他者と分担すること リスクから生じる金銭的なダメージなどを他者に肩代わりしてもらうことです。今回の「サイバー保険」への加入がまさにこれに当たります。また、システム運用を外部ベンダーに委託（アウトソーシング）し、損害賠償の責任範囲を契約で決めることも、リスクの一部を他者に移転しているためリスク共有の一種といえます。

3. リスク低減：リスクが発生する確率や影響度を小さくすること リスクを完全になくすことは難しい場合に、被害を最小限に抑えようとする対応です。具体的には「ファイアウォールを設置する」「アクセス権限を最小限に制限する」「従業員へのセキュリティ教育を行う」などが挙げられます。試験では最も頻出の対応策です。

4. リスク保有：リスクを許容し、そのまま対策をとらないこと リスクによる損害が小さい場合や、対策にかかるコストが損害額を上回ってしまう場合に、あえて対策を講じない選択です。発生した損害は自社で受け入れることになります。

試験での活用ポイント

この4分類は「どの対策がどの分類に属するか」を具体例とともに紐付ける問題が非常によく出題されます。「対策の内容＝リスクに対する性質」で考えると整理しやすくなります。

・発生させないようにするなら「回避」 ・影響が及ぶ範囲を狭めたり、確率を下げたりするなら「低減」 ・他人の力を借りて被害を分散するなら「共有（移転）」 ・コストや重要性を天秤にかけて何もしないなら「保有」

という整理を頭に入れておくと、初見の具体例が出ても落ち着いて対応できるようになります。

IPA 情報セキュリティマネジメントの解説（情報セキュリティのリスクマネジメント） ITパスポート試験ドットコム（リスク対応の4つの分類） 総務省 国民のための情報セキュリティサイト（リスクマネジメント）