令和5年度 ITパスポート試験 公開問題 問72 解説 リスク対応(リスク共有)
情報セキュリティのリスクマネジメントにおけるリスク対応を, リスク回避, リスク共有, リスク低減及びリスク保有の四つに分類したとき, リスク共有の説明として, 適切なものはどれか。
- 個人情報を取り扱わないなど, リスクを伴う活動自体を停止したり, リスク要因を根本的に排除したりすること
- 災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど, リスクの発生確率や損害を減らす対策を講じること
- 保険への加入など, リスクを一定の合意の下に別の組織へ移転又は分散することによって, リスクが顕在化したときの損害を低減すること ✓ 正答
- リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に, リスクを認識した上で特に対策を講じず, そのリスクを受け入れること
解説
リスク対応の4分類はITパスポート試験の頻出項目です。この問題を解くコツは、それぞれの言葉のニュアンスと、代表的な例をセットで暗記することです。
リスク共有(リスク移転)は、自分一人でリスクを抱え込むのではなく、保険や契約によって外部の組織とリスクを分け合う(または移転する)行為を指します。選択肢の中の「保険への加入」というキーワードがあれば、迷わずリスク共有を選びましょう。
リスク対応の4分類は以下のように整理できます。
リスク回避:リスクを伴う行為そのものをやめることです。例えば、情報漏洩が怖いから顧客データを一切保有しない、といった対応がこれに当たります。
リスク低減:リスクの発生確率や影響度を小さくする対策です。セキュリティソフトの導入、ファイアウォールの設置、社員研修の実施などが代表的です。選択肢の「データセンターの分散」も、災害発生時の被害を小さくするためのリスク低減の一環といえます。
リスク共有:リスクを他者に移転または分散することです。保険会社と契約して損害をカバーしてもらう(保険への加入)、あるいはシステム管理を専門業者にアウトソーシングして責任の一部を分担してもらう、といったケースが含まれます。
リスク保有(リスク受容):リスクを認識しつつ、対策コストが見合わないなどの理由で、現状のままリスクを受け入れることです。発生確率が極めて低く、損害も軽微な場合に選ばれる判断です。
試験では、リスクの種類と「具体的にどう動くか」を結びつける問題がよく出題されます。「発生確率を下げるなら低減」「自分ではどうしようもないから他人に頼るなら共有」というふうに、目的で分類すると判断しやすくなります。
- ITパスポート試験 ドットコム リスク対応の手順
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
