問題
問62
セキュリティリスクへの対応には、リスク移転、リスク回避,リスク受容及びリスク低減がある。リスク低減に該当する事例はどれか。
- セキュリティ対策を行って、問題発生の可能性を下げた。
- 問題発生時の損害に備えて、保険に入った。
- リスクが小さいことを確認し、問題発生時は損害を負担することにした。
- リスクの大きいサービスから撤退した。
[出典:ITパスポート試験 平成28年度秋期 問62]
正解
正解は「ア」です。
解説
正解は「ア」です。リスク低減とは、企業が直面するリスクの発生する「可能性」を低くしたり、もしリスクが発生してしまった場合の「影響」を小さくしたりするための対策を講じることを指します。これは、予防策を導入したり、事後の被害を最小限に抑えるための準備をしたりすることによって実現されます。
例えば、ウェブサイトへの不正アクセスというリスクに対して、最新のセキュリティパッチを適用したり、強力な認証システムを導入したりすることは、不正アクセスが発生する可能性を低くするリスク低減策にあたります。選択肢アの「セキュリティ対策を行って、問題発生の可能性を下げた」という記述は、まさにリスク低減の考え方そのものであり、問題の発生確率を下げる具体的な行動を示しています。これにより、企業は安心して事業を継続できるようになるのです。
イ(問題発生時の損害に備えて、保険に入った。):
これはリスク移転の事例です。リスク移転とは、リスクによる損害を、保険会社のような第三者に肩代わりしてもらうことを言います。
ウ(リスクが小さいことを確認し、問題発生時は損害を負担することにした。):
これはリスク受容の事例です。リスク受容とは、リスクの発生確率や影響が小さいと判断し、特に対策を講じずにそのリスクを受け入れることを言います。
エ(リスクの大きいサービスから撤退した。):
これはリスク回避の事例です。リスク回避とは、リスクを伴う活動そのものを行わないことで、リスクの発生を完全に避けることを言います。
難易度
この問題は、ITパスポート試験で頻出の「リスクマネジメント」におけるリスク対応策の基本知識を問うものです。リスク回避、リスク低減、リスク移転、リスク受容の各戦略の定義を理解し、具体的な事例と結びつけられれば容易に解答できます。それぞれの対応策の目的と行動の違いを把握しているかどうかがポイントです。基本的な用語を学習していれば、IT初学者でも十分に解答できる難易度と言えるでしょう。
用語補足
セキュリティリスク:
情報システムや情報資産に損害を与える可能性のある脅威と、その脅威によって情報が漏えいしたり、使えなくなったりするなどの脆弱性が組み合わさったものです。例えば、ウイルス感染や不正アクセスなどがセキュリティリスクとして挙げられます。
リスク移転:
リスクによる損害が発生した場合の費用負担などを、保険会社のような第三者に移す(肩代わりしてもらう)ことです。例えば、火災保険に加入して、火災による建物の損害費用を保険会社に払ってもらうのがこの例です。
リスク回避:
リスクを伴う活動そのものを行わないことで、リスクの発生を完全に避ける戦略です。例えば、危険な投資案件には手を出さない、情報漏洩のリスクがあるサービスは提供しない、といった行動がリスク回避にあたります。
リスク受容:
リスクの発生確率や影響が非常に小さい、または対策にかかるコストが見合わないと判断し、特に対策を講じずにそのリスクを受け入れる戦略です。例えば、ごくまれにしか起こらない小さな故障であれば、修理費用をその都度支払う覚悟をする、といったケースです。
対策
リスクマネジメントはITパスポート試験の重要テーマです。この問題のポイントは、リスクに対する4つの対応策(リスク回避、リスク低減、リスク移転、リスク受容)の定義を明確に区別して覚えることです。それぞれの対応策が「何をするものなのか」「なぜそうするのか」を具体的な行動や事例と結びつけて学習しましょう。特に、リスク低減は発生確率や影響を「減らす」対策であると理解し、他の対策との違いを把握することが、類似問題に対応する鍵となります。
