問題
問63
情報セキュリティのリスクマネジメントをリスク特定、リスク分析、リスク評価、リスク対応に分けたときに、リスク対応に含まれるものはどれか。
- 組織に存在するリスクを洗い出す。
- リスクの大きさとリスク受容基準を比較して,対策実施の必要性を判断する。
- リスクの発生確率と影響度から,リスクの大きさを算定する。
- リスクへの対処方法を選択し,具体的な管理策の計画を立てる。
[出典:ITパスポート試験 平成29年度春期 問63]
正解
正解は「エ」です。
解説
正解は、リスクへの対処方法を選択し、具体的な管理策の計画を立てることです。これは情報セキュリティにおける「リスク対応」に該当します。リスク対応とは、リスク分析や評価の結果を踏まえ、実際にどのような行動を取るかを決める段階です。
例えば、盗難の危険があると分かった場合に、防犯カメラを設置する、入退室管理を厳しくする、あるいは保険に加入するといった具体的な対策を決めることがリスク対応に当たります。単にリスクを見つけたり、大きさを計算したりするだけでは被害は防げません。
そのため、リスクを低減、回避、移転、または受容するなどの方針を決定し、実行可能な管理策として計画に落とし込むことが重要です。このように、実際の対策を選び、行動計画を立てる工程がリスク対応であるため、選択肢エが正解となります。
ア(組織に存在するリスクを洗い出す):
これはリスクを見つけ出す工程であり、「リスク特定」に該当します。リスク対応ではありません。
イ(リスクの大きさとリスク受容基準を比較して…):
リスクの大きさを基準と照らし合わせて判断する段階は「リスク評価」に該当します。
ウ(リスクの発生確率と影響度から…):
発生確率と影響度からリスクの大きさを算定するのは「リスク分析」の工程です。
難易度
情報セキュリティのリスクマネジメントの流れを理解していれば比較的解きやすい問題です。ただし、「リスク分析」「リスク評価」「リスク対応」といった用語の違いを曖昧に覚えていると混乱しやすいため、初心者にとっては用語整理が必要な中程度の難易度といえます。
用語補足
リスクマネジメント:
リスクを特定し、分析・評価した上で、適切に対処する一連の管理活動です。例として、事故を防ぐための安全管理が挙げられます。
リスク特定:
組織やシステムにどのような危険が存在するかを洗い出す工程です。例として、情報漏えいの可能性を列挙することが該当します。
リスク分析:
リスクがどの程度起こりやすく、起きた場合にどれほど影響があるかを分析することです。
リスク対応:
リスクを減らす、避ける、他に移すなど、具体的な対策を決めて実行する工程です。
対策
リスクマネジメントは「特定→分析→評価→対応」という流れで整理して覚えることが重要です。それぞれの工程で何をするのかを、日常生活の例(防犯・災害対策など)と結び付けて理解すると混同しにくくなります。試験では「実際に対策を決める段階かどうか」を意識して選択肢を見極めることがポイントです。
