問題
問99
情報セキュリティのリスクマネジメントにおいて、リスク移転、リスク回避、リスク低減、リスク保有などが分類に用いられることがある。これらに関する記述として、適切なものはどれか。
- リスク対応において、リスクへの対応策を分類したものであり、リスクの顕在化に備えて保険を掛けることは、リスク移転に分類される。
- リスク特定において、保有資産の使用目的を分類したものであり、マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は、リスク低減に分類される。
- リスク評価において、リスクの評価方法を分類したものであり、管理対象の資産がもつリスクについて、それを回避することが可能かどうかで評価することは、リスク回避に分類される。
- リスク分析において、リスクの分析手法を分類したものであり、管理対象の資産がもつ脆弱性を客観的な数値で表す手法は、リスク保有に分類される。
[出典:ITパスポート試験 令和3年度 問99]
スポンサーリンク
正解
正解は「ア」です。
解説
情報セキュリティのリスクマネジメントでは、リスクへの対応方法を適切に分類し、企業や組織が適切な対策を講じることが重要です。本問題では、リスク移転、リスク回避、リスク低減、リスク保有の説明が求められています。
■ リスク対応の分類
リスク移転(正解の選択肢):
リスク移転とは、リスクの影響を第三者に移すことでリスクを軽減する方法です。例えば、企業が保険に加入することで、予期しない事故や損害による損失を保険会社に負担させることができます。これにより、企業は経済的なリスクを減らし、影響を最小限に抑えることができます。
イ(リスク回避では、リスクが顕在化した場合に迅速な対処が可能となるように、対応策を準備する):
リスク回避とは、そもそもリスクを発生させないための方法です。例えば、危険な活動を避ける、もしくはリスクのある取引を行わないことが該当します。この選択肢はリスク回避ではなく、むしろ事後対応の説明に近いため誤りです。
ウ(リスク低減では、発生したリスクに対して事後対応することによって影響を軽減する):
リスク低減とは、リスクの発生を完全に防ぐことができない場合に、リスクの影響を小さくする方法です。例えば、システムに二重のバックアップを用意するなどが該当します。しかし、発生後の事後対応を指すものではないため、この選択肢は誤りです。
エ(リスク保有では、リスクを完全に排除するための対策を講じる):
リスク保有とは、リスクを受け入れることを指します。リスクを完全に排除することはできないため、この説明は誤りです。企業がリスクを許容し、必要に応じて影響を受け入れる場合に該当します。
難易度
普通
リスクマネジメントの基本的な分類を理解していれば容易に解答できますが、リスク回避やリスク低減の違いを正しく認識していないと迷う可能性があります。
スポンサーリンク
用語補足
リスク移転:
企業が保険などを利用して、損失の負担を第三者に移すリスク管理手法。事故や災害による損害を軽減する目的で使用される。
リスク回避:
リスクの発生を未然に防ぐための戦略。例えば、高リスクの取引を避ける、危険なエリアへの進出をしないなどの対策が含まれる。
対策
リスクマネジメントの各分類について正しく理解し、それぞれの特徴と実際の企業運用における活用事例を整理することが重要です。特に、リスク回避とリスク低減の違いを明確にし、試験での選択肢を正しく判断できるように準備することがポイントです。
