令和6年度 ITパスポート試験 公開問題 問64 解説 リスク対応の分類
情報セキュリティのリスクマネジメントにおけるリスクへの対応を,リスク共有, リスク回避,リスク保有及びリスク低減の四つに分類するとき,リスク共有の例とし て,適切なものはどれか。
- ア 災害によるシステムの停止時間を短くするために,遠隔地にバックアップセンタを設置する。
- イ 情報漏えいによって発生する損害賠償や事故処理の損失補填のために,サイバー保険に加入する。 ✓ 正答
- ウ 電子メールによる機密ファイルの流出を防ぐために,ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
- エ ノートPCの紛失や盗難による情報漏えいを防ぐために,HDDを暗号化する。
解説
リスクへの対応には4つの分類があり、今回の問題はそれぞれの定義を正しく判別できるかが鍵です。リスク共有は「損失を他者と分担すること」を指すため、金銭的な補償を受ける「保険への加入」が合致すると判断します。
リスクへの対応策とは
情報セキュリティマネジメントにおいて、リスクを完全にゼロにすることは困難です。そのため、組織はリスクに対してどのような方針をとるかを事前に決定する必要があります。この4つの分類は、試験でも実務でも頻出の基本概念です。
- リスク回避:リスクそのものをなくすこと。業務プロセスをやめる、システムを廃止するなどが該当します。
- リスク低減:発生確率や影響度を下げること。セキュリティ対策を導入して被害を最小限に抑える活動です。
- リスク共有(移転):他者とリスクを分担すること。保険の利用や、外部委託によって責任の一部を移すことがこれにあたります。
- リスク保有:残存するリスクを許容すること。対策コストが被害額を上回る場合など、あえて何もせずリスクを受け入れる判断です。
思考プロセスと各選択肢の分析
問題文にある選択肢を、上記の定義に当てはめて整理してみましょう。
選択肢ア:遠隔地にバックアップセンターを設置するのは、災害発生時に即座に復旧させるための「リスク低減」にあたります。被害の影響度を小さくする対策です。
選択肢イ:サイバー保険への加入は、損害賠償という経済的損失を保険会社という外部組織と分け合う行為です。これが「リスク共有」の典型例です。
選択肢ウ:上司の許可を必要とする仕組みは、機密情報の持ち出しというリスクを発生しにくくする「リスク低減」の対策です。
選択肢エ:HDDの暗号化は、紛失しても中身を見られないようにすることでリスクを軽減する「リスク低減」です。
このように、ほとんどの技術的対策(暗号化、アクセス権設定、監視など)は「リスク低減」に分類されます。一方で、コスト負担や責任分担という文脈が出てきた場合は「リスク共有」を疑うのが、問題を解く際の近道です。
なぜこの知識が重要なのか
情報システムの現場では、限られた予算の中で最適なセキュリティ対策を講じる必要があります。すべてのリスクを技術(低減)で解決しようとすると、莫大な費用がかかってしまいます。
企業経営の観点からは、「これは低減すべきリスクか」「これは保険で対応すべきリスクか」、あるいは「対策費用の方が高いので、あえて何もしない(保有)でいくか」といった判断を経営層が下す必要があります。この4つの分類を理解しておくことは、単なる試験対策としてだけでなく、ITの管理職やプロジェクトマネージャーとして不可欠な「意思決定のフレームワーク」を学ぶことに他なりません。
参考リンク
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
