ITパスポート試験　令和元年度 [問86]　過去問解説

問題

問86

情報セキュリティのリスクマネジメントにおけるリスク対応を、リスクの移転、回避、受容及び低減の四つに分類するとき、リスクの低減の例として、適切なものはどれか。

• インターネット上で、特定利用者に対して、機密に属する情報の提供サービスを行っていたが、情報漏えいのリスクを考慮して、そのサービスから撤退する。
• 個人情報が漏えいした場合に備えて、保険に加入する。
• サーバ室には限られた管理者しか入室できず、機器盗難のリスクは低いので、追加の対策は行わない。
• ノートPCの紛失、盗難による情報漏えいに備えて、ノートPCのHDDに保存する情報を暗号化する。

[出典：ITパスポート試験 令和元年度 問86]

スポンサーリンク

正解

正解は「エ」です。

解説

　この問題は、情報セキュリティリスクへの「リスク対応」の分類とその具体例を問うものです。リスク対応は、一般に次の4つに分類されます。

• リスク回避（Avoidance）：リスクそのものを発生させないようにする（例：サービス提供を中止する）
• リスク移転（Transfer）：リスクを第三者へ移す（例：保険加入）
• リスク受容（Acceptance）：リスクの発生を許容し、対策をとらない（例：特に対応しない）
• リスク低減（Mitigation）：リスクの発生確率や影響を小さくする（例：暗号化など技術的対策）

　本問で「リスクの低減」に該当するのは、「ノートPCのHDDに保存する情報を暗号化する」つまり、万が一盗難や紛失が発生しても情報が漏えいしないよう影響を減らす対策です。これはまさにリスクを『低減』するための代表的な措置です。 　したがって、正解は「エ」です。

• ア(情報漏えいのリスクを考慮して、そのサービスから撤退する):
  　これは「リスク回避」に該当します。リスクそのものをなくすために業務をやめる対応です。
• イ(保険に加入する):
  　保険で損失補填を行うのは「リスク移転」です。リスク自体は残りますが、発生時の損害を第三者に移しています。
• ウ(リスクは低いので、追加の対策は行わない):
  　これは「リスク受容」に該当し、あえてリスクをそのまま受け入れる対応です。

難易度

　本問はリスクマネジメントの基本的な4分類（回避・移転・受容・低減）を正しく理解していれば、用語と具体的な行動を結び付けて容易に解ける問題です。初学者でも対比形式で覚えていれば正解にたどり着けるため、難易度は「やや易しい」です。

スポンサーリンク

用語補足

リスク低減：
　発生するリスクの確率や影響を、技術的・物理的・管理的な対策で抑えること。暗号化やアクセス制御などが該当します。

リスク回避：
　リスクを伴う行為やサービスを中止するなど、リスクの原因そのものを排除する手法です。

リスク移転：
　損害保険の加入や外部委託により、リスクの影響を他者に肩代わりさせる対応方法です。

対策

　リスク対応の4分類（回避・移転・受容・低減）とそれぞれの代表的な具体例をセットで覚えておくと、試験でも即座に判断できます。図や表にして整理すると記憶に残りやすく、実務にも応用しやすいです。