問題
問89
A社では、自社の情報資産に関するリスク分析を実施した結果、近くの川が氾濫することで会社の1階にあるサーバルームが浸水するおそれがあることが分かった。サーバルームの移転も検討したが、川は100年前に1度氾濫したきりで、その可能性はほとんどないと判断し、特に対策は講じないことを経営層が決定した。A社が選択した情報セキュリティのリスク対応はどれか。
- リスクの移転
- リスクの回避
- リスクの受容
- リスクの低減
[出典:ITパスポート試験 平成28年度秋期 問89]
正解
正解は「ウ」です。
解説
この問題の正解は「ウ リスクの受容」です。リスクの受容とは、発生する可能性のあるリスクを認識した上で、あえて特別な対策を講じず、そのリスクを受け入れることを指します。問題文では、A社が「川の氾濫の可能性はほとんどないと判断し、特に対策は講じないことを経営層が決定した」とあります。これは、リスクの発生確率が低いと判断し、対策費用に見合わない、あるいは許容範囲内であるとして、そのリスクが現実のものとなった場合の結果を受け入れるという選択をしたことを意味します。
例えば、非常に低い確率でしか起こらないかもしれない「宝くじが当たる」というリスク(ここでは良いリスクですが)に対して、特別な対策(例えば、当たった時のために今から準備をしておくなど)をしないのと似ています。企業においては、全ての潜在的なリスクに対策を打つことはコストやリソースの面で非現実的であるため、リスク分析の結果に基づいて、どのリスクを受け入れるかを判断することも重要な戦略の一つなのです。
ア(リスクの移転):
リスクの移転は、保険への加入などによって、リスクが発生した場合の損害を第三者に負担させることです。A社は対策を講じていないため、これに該当しません。
イ(リスクの回避):
リスクの回避は、リスクを引き起こす活動そのものを行わないことで、リスクの発生を完全に防ぐことです。問題文ではリスクが存在する状況は変わっていません。
エ(リスクの低減):
リスクの低減は、セキュリティ対策や冗長化などの措置を講じることで、リスクの発生確率や発生した際の被害を小さくすることです。A社は対策を講じていないため、これに該当しません。
難易度
この問題は、情報セキュリティにおけるリスク対応策の基本的な概念を理解しているかを問うもので、難易度は中程度と言えるでしょう。各選択肢の用語の意味を正確に把握していれば、問題文の状況と照らし合わせることで正解を導き出すことができます。特に、「対策を講じない」という決定がどのリスク対応策に該当するかを判断する点がポイントです。
用語補足
リスク分析:
リスク分析とは、企業が持つ情報資産に対して、どのような危険(脅威)があり、その危険がどのくらいの確率で発生し、発生した場合にどのくらいの損害(脆弱性)が出るかを評価することです。例えば、会社のデータがウイルスに感染する可能性と、それが起きた場合の業務停止による損失を見積もるような作業です。
情報セキュリティのリスク対応:
情報セキュリティのリスク対応とは、リスク分析の結果に基づいて、リスクに対してどのような行動を取るかを決めることです。「リスク回避」「リスク低減」「リスク移転」「リスク受容」の4つの基本的な選択肢があります。例えば、雨漏りのリスクに対して、傘を差す(低減)、雨の日は外出しない(回避)、保険に入る(移転)、少しくらい濡れても気にしない(受容)といった対応に例えられます。
リスクの受容:
リスクの受容とは、発生するリスクを認識した上で、特別な対策は講じず、そのリスクをそのまま受け入れることです。リスクの発生確率が極めて低い、または対策にかかるコストが予想される損害よりも大きいと判断される場合などに選択されます。例えば、めったに発生しない小さな地震に対して、特に家具の固定などの対策はせずに、被害があったらその時対応すると決めるような状態です。
サーバルーム:
サーバルームとは、会社の大切な情報システム(サーバー)が設置されている専用の部屋のことです。データセンターのような大規模なものから、オフィスの一角にある小規模なものまであります。温度や湿度が管理され、セキュリティも厳重に保たれていることが多いです。会社の心臓部とも言える場所です。
対策
この問題のポイントは、情報セキュリティにおける4つのリスク対応策(回避、低減、移転、受容)の定義を正確に理解していることです。特に、問題文中の「特に対策は講じないことを経営層が決定した」という部分が、どのリスク対応策に該当するのかを判断できるかが重要です。各対応策の具体的な例を頭に入れておくと、類似問題でも迷わずに対応できます。日頃から用語とその具体的な状況をセットで覚えるようにしましょう。
