ITパスポート試験 / 令和7年度 ITパスポート試験 公開問題 / 問91
certification-simodake-work

令和7年度 ITパスポート試験 公開問題 問91 解説 リスク対応の分類

情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク移転,リスク回避,リスク低減及びリスク保有の四つに分けて実施することにしたとき,これらに関する記述として,適切なものはどれか。

  1. リスク対応の実施手順であり,リスク回避,リスク移転,リスク低減,リスク保有の順番で進める。
  2. リスク対応の実施手順であり,リスク保有,リスク低減,リスク移転,リスク回避の順番で進める。
  3. リスク対応の選択肢であり,管理対象としたリスクの顕在化に備えて保険を掛けておくことは,リスク回避に該当する。
  4. リスク対応の選択肢であり,ノートPCの紛失や盗難に備えて社外への持出しをより厳重に管理することは,リスク低減に該当する。 ✓ 正答

解説

リスク対応の4つの選択肢を正確に理解する

この問題は、情報セキュリティにおけるリスクマネジメントの「リスク対応」の4つの基本的な考え方について、それぞれの内容を正確に理解しているかを問うものです。選択肢の正誤を判断するためには、リスク対応の4つの分類(リスク回避、リスク移転、リスク低減、リスク保有)それぞれの意味を明確に区別する必要があります。

解き方のポイント

まず、提示されている4つのリスク対応(リスク回避、リスク移転、リスク低減、リスク保有)が、特定の「手順」ではなく、リスクに対して取りうる「選択肢」であることを理解することが重要です。その上で、各選択肢の内容が、それぞれのリスク対応の定義に合致しているかを確認していきます。

リスク対応の4つの分類

情報セキュリティのリスクマネジメントにおいて、リスクが発生した場合に、あるいは発生する可能性を考慮して、どのような対策を講じるかには、大きく分けて以下の4つの選択肢があります。これらは、実行すべき「手順」というよりは、リスクに対して取りうる「対応策の方向性」と捉えるのが適切です。

  1. リスク回避 (Risk Avoidance)

    • リスクの原因となる活動や事業そのものを中止したり、回避したりすることです。リスクを根本から排除する最も確実な方法ですが、その活動から得られる利益も失うことになります。
    • 例:高リスクな事業への参入をやめる、機密性の高い情報を扱うシステムを廃止する。

  2. リスク移転 (Risk Transfer)

    • リスクが顕在化した場合の経済的な負担を、第三者に移すことです。自社でリスクを負うのではなく、他者にその責任の一部または全部を移します。
    • 例:損害保険への加入、業務委託契約における責任分担。

  3. リスク低減 (Risk Mitigation / Reduction)

    • リスクの発生可能性を減らしたり、発生した場合の影響度を小さくしたりする対策を講じることです。技術的、組織的、物理的な対策を組み合わせて、リスクの度合いを許容可能なレベルまで下げます。
    • 例:アクセス制御の強化、バックアップ体制の整備、社員教育の実施、脆弱性対策。

  4. リスク保有 (Risk Retention / Acceptance)

    • リスクを認識した上で、そのリスクを受け入れ、自社で負担することです。対策を講じてもリスクを完全に排除できない場合や、対策コストがリスクによる損失よりも大きいと判断される場合に選択されます。
    • 例:軽微な損失は想定内として、保険に加入しない。

各選択肢の吟味

これらの定義を踏まえて、各選択肢を見てみましょう。

  • 「リスク対応の実施手順であり,リスク回避,リスク移転,リスク低減,リスク保有の順番で進める。」 これは誤りです。これらの4つは手順ではなく、リスクの性質や状況に応じて選択される対応策であり、必ずこの順番で進めるものではありません。
  • 「リスク対応の実施手順であり,リスク保有,リスク低減,リスク移転,リスク回避の順番で進める。」 これも誤りです。上記と同様、これらは手順ではありません。
  • 「リスク対応の選択肢であり,管理対象としたリスクの顕在化に備えて保険を掛けておくことは,リスク回避に該当する。」 これも誤りです。保険を掛けることは、リスクが顕在化した際の経済的損失を第三者(保険会社)に移す「リスク移転」に該当します。リスク回避は、リスクの原因となる行為そのものをやめることです。
  • 「リスク対応の選択肢であり,ノートPCの紛失や盗難に備えて社外への持出しをより厳重に管理することは,リスク低減に該当する。」 これが正しい選択肢です。ノートPCの紛失や盗難はリスクであり、その発生可能性や、万が一発生した場合の影響度を小さくするために、「社外への持ち出しをより厳重に管理する」という対策(例:持ち出しルールの強化、暗号化、紛失防止タグの利用など)を講じることは、「リスク低減」に該当します。

実践的な活用

このリスク対応の4つの分類は、情報セキュリティに限らず、事業運営における様々なリスク管理の基本となります。例えば、新しい事業を始める際には、その事業に伴うリスク(市場リスク、技術リスク、法規制リスクなど)を洗い出し、それぞれのリスクに対して「その事業をやめる(回避)」、「外部に委託する、保険をかける(移転)」、「社内体制を整備する、技術を導入する(低減)」、「ある程度の損失は許容する(保有)」といった対応策を検討することになります。

ITパスポート試験では、このように抽象的な概念が具体的な事例にどう適用されるかを理解しているかが問われます。日頃から、身の回りの出来事やニュースなどにおいて、「これはリスク回避かな?」「これはリスク低減の例だな」といったように、学んだ知識を当てはめて考えてみる習慣をつけると、理解が深まり、試験問題にも対応しやすくなります。

参考リンク

学習の記録にははてなブックマーク!

気づいたこと・覚えたことをコメントにメモしよう

このエントリーをはてなブックマークに追加