問題
問61
情報セキュリティリスクへの対応には、リスク移転、リスク回避、リスク受容及びリスク低減がある。リスク受容に該当する記述はどれか。
- セキュリティ対策を行って、問題発生の可能性を下げること
- 特段の対応は行わずに、損害発生時の負担を想定しておくこと
- 保険などによってリスクを他者などに移すこと
- 問題の発生要因を排除してリスクが発生する可能性を取り去ること
[出典:ITパスポート試験 平成30年度春期 問61]
正解
正解は「イ」です。
解説
「リスク受容」とは、情報セキュリティリスクに対して、あえて特別な対策を行わない選択をすることです。リスクの発生確率が非常に低い場合や、万が一発生しても影響が軽微である場合、あるいは対策にかかるコストがリスクによって生じる損害よりも高くつく場合などに選択されます。例えば、自宅の窓ガラスが割れるリスクを考えてみましょう。対策として防弾ガラスに交換するのはコストがかかりすぎます。そこで、割れる可能性は低いと判断し、もし割れても修理費用を払うと決めるのがリスク受容です。
この問題の選択肢イは「特段の対応は行わずに、損害発生時の負担を想定しておくこと」とあり、まさにリスク受容の定義に合致しています。つまり、リスクがあることは認識しつつも、具体的な予防策は講じず、発生した際の損害(負担)を受け入れるという考え方を示しています。
ア(セキュリティ対策を行って、問題発生の可能性を下げること):
これは「リスク低減」の説明です。対策を講じてリスクの発生確率や影響度を下げることを指します。
ウ(保険などによってリスクを他者などに移すこと):
これは「リスク移転」の説明です。リスクが発生した際の損害を、保険会社などの第三者に負担させることを指します。
エ(問題の発生要因を排除してリスクが発生する可能性を取り去ること):
これは「リスク回避」の説明です。リスクの原因となる活動自体を停止したり、別の方法に変更したりして、リスクを完全に排除することを指します。
難易度
この問題は、情報セキュリティにおけるリスク対応の基本的な考え方を問うものであり、ITパスポート試験の頻出テーマです。それぞれのリスク対応方法(リスク移転、リスク回避、リスク受容、リスク低減)の定義を正確に理解していれば、比較的容易に解答できるでしょう。特に、日常的な例えをイメージしながら学ぶことで、概念を区別しやすくなります。
用語補足
リスク受容:
情報セキュリティリスクが存在することを認識した上で、そのリスクに対して特別な対策を講じず、発生した際の損害や影響を受け入れること。例えば、ウイルス感染のリスクがある古いパソコンを使い続けるが、もし感染したら修理費を払うと決めることです。
リスク低減:
情報セキュリティリスクの発生確率や、発生した場合の被害を減らすための対策を講じること。例えば、ウイルス対策ソフトを導入したり、バックアップを取ったりして、ウイルス感染のリスクを減らすことです。
リスク移転:
情報セキュリティリスクが発生した際の損害を、第三者に負担してもらうこと。例えば、サイバー保険に加入して、万が一の被害を保険会社に補償してもらうことです。
リスク回避:
情報セキュリティリスクの原因となる行為や活動自体をやめることで、リスクの発生を完全に避けること。例えば、個人情報が漏えいするリスクが高いオンラインサービスを利用しないようにすることです。
対策
この問題に正解するためには、情報セキュリティリスクへの4つの対応方法(リスク移転、リスク回避、リスク受容、リスク低減)の定義と違いを明確に理解することが重要です。それぞれの概念を具体的な状況や日常の例に当てはめて考えると、記憶に残りやすくなります。過去問題を繰り返し解き、各選択肢がどの対応方法に該当するかを判断する練習を積むことが効果的です。
