問題
問77
セキュリティリスクへの対応には、リスク移転、リスク回避、リスク受容,リスク低減などがある。リスク移転に該当する事例はどれか。
- セキュリティ対策を行って、問題発生の可能性を下げた。
- 問題発生時の損害に備えて、保険に入った。
- リスクが小さいことを確認し、問題発生時は損害を負担することにした。
- リスクの大きいサービスから撤退した。
[出典:ITパスポート試験 平成28年度春期 問77]
正解
正解は「イ」です。
解説
リスク移転とは、自社で抱えきれないリスクを、外部の第三者に負担してもらうことです。具体的には、リスクが発生した際の金銭的な損害を肩代わりしてもらうことを指します。この対応策は、特に発生頻度は低いものの、一度発生すると自社だけでは対応が難しいほどの甚大な被害をもたらす可能性のあるリスクに対して有効です。選択肢「イ」の「問題発生時の損害に備えて、保険に入った」という行為は、まさにリスク移転の典型的な例です。
企業が保険に加入することで、万が一の災害や事故、システム障害などが発生した場合の損害を保険会社に負担してもらうことができます。これにより、企業は予期せぬ大きな出費から守られ、経営の安定を図ることができます。
ア(セキュリティ対策を行って、問題発生の可能性を下げた。):
これはリスク低減に該当します。セキュリティ対策を講じることで、リスクの発生確率や発生時の影響を小さくする対応です。
ウ(リスクが小さいことを確認し、問題発生時は損害を負担することにした。):
これはリスク受容に該当します。リスクを認識し、その発生を受け入れる(対処せずにそのままにする)対応です。
エ(リスクの大きいサービスから撤退した。):
これはリスク回避に該当します。リスクを伴う活動自体を行わないことで、リスクの発生を完全に避ける対応です。
難易度
この問題は、セキュリティリスクへの対応方法に関する基本的な知識を問うものです。リスク移転、リスク回避、リスク受容、リスク低減といった主要なリスク対応策の定義を理解していれば、比較的容易に解答できるでしょう。それぞれの対応策がどのような行動を指すのかを具体的な事例と結びつけて学習しておくと、迷うことなく正解にたどり着けます。ITパスポート試験の初心者でも十分に理解できる難易度と言えます。
用語補足
リスク移転:
自社で抱えるリスクの責任や金銭的な負担を、保険会社や外部の企業といった第三者に移すことです。例えば、工場が火災で焼失した場合の損害を補償してくれる火災保険に加入することがリスク移転にあたります。
リスク回避:
リスクが伴う活動そのものをやめることで、リスクの発生を完全に避けることです。例えば、危険な場所での事業展開を中止したり、脆弱性のあるシステムを使わないようにしたりすることです。
リスク受容:
リスクを認識した上で、そのリスクが発生しても許容できると判断し、特に対策を講じずにそのまま受け入れることです。例えば、小さなシステム障害による軽微な業務停止は許容範囲内と判断し、特別な対策をしない場合などです。
リスク低減:
リスクの発生確率を減らしたり、リスクが発生した場合の影響を小さくしたりするための対策を講じることです。例えば、ウイルス対策ソフトを導入してコンピュータウイルスの感染リスクを減らしたり、システムのバックアップを取ってデータ消失の影響を軽減したりすることです。
対策
この問題は、ITパスポート試験で頻出する「セキュリティリスクへの対応方法」に関する知識を問うものです。リスク移転、リスク回避、リスク受容、リスク低減の4つの基本的な対応策について、それぞれの定義と具体的な事例をしっかりと関連付けて理解することがポイントです。特に、それぞれの「リスク対応」がどのような行動を意味するのかを明確に区別できるように学習しましょう。過去問題を繰り返し解き、各選択肢がどの対応策に該当するかを判断する練習を積むと効果的です。
