問題
問72
情報セキュリティのリスクマネジメントにおけるリスク対応を、リスク回避、リスク共有、リスク低減及びリスク保有の四つに分類したとき、リスク共有の説明として、適切なものはどれか。
- 個人情報を取り扱わないなど、リスクを伴う活動自体を停止したり、リスク要因を根本的に排除したりすること
- 災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど、リスクの発生確率や損害を減らす対策を講じること
- 保険への加入など、リスクを一定の合意の下に別の組織へ移転又は分散することによって、リスクが顕在化したときの損害を低減すること
- リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に、リスクを認識した上で特に対策を講じず、そのリスクを受け入れること
[出典:ITパスポート試験 令和5年度 問72]
スポンサーリンク
正解
正解は「ウ」です。
解説
リスク対応の一つである「リスク共有」は、損害が発生した際の負担を他者と分担することを指します。具体的には、保険に加入したり、契約によってリスクを他の組織と共有したりする方法があります。
選択肢ウの「保険への加入など、リスクを一定の合意の下に別の組織へ移転又は分散すること」は、まさにリスク共有の例です。そのため、正解となります。
ア(個人情報を取り扱わないなど):
これは「リスク回避」の例です。リスク回避は、リスクの要因そのものを排除することで、発生の可能性をゼロにする方法です。
イ(災害に備えてデータセンターを分散する):
これは「リスク低減」の例です。リスク低減は、リスクの発生確率や影響を小さくするための対策を指します。
エ(リスクを認識しつつ受け入れる):
これは「リスク保有」の例です。リスク保有は、損害が小さいと判断し、特に対策をせずに受け入れる対応方法です。
難易度
普通
リスクマネジメントの基本4分類を理解していれば解ける問題ですが、各用語の違いが曖昧な場合は混乱しやすいため、難易度は「普通」としました。
スポンサーリンク
用語補足
リスク共有:
リスクを第三者(例: 保険会社)と分担することで、発生時の損害を軽減する手法です。具体例として、企業がサイバー攻撃リスクに対してサイバー保険に加入するケースがあります。
リスク回避:
リスクを伴う行為そのものを行わないことで、リスクを完全になくす方法です。例えば、災害のリスクが高い地域にデータセンターを建設しないことが該当します。
対策
- リスクマネジメントの4つの分類(リスク回避、リスク共有、リスク低減、リスク保有)の意味を明確に区別できるようにしておくことが重要です。
- 保険や契約などの具体的な事例を交えて考えると、リスク共有の概念が理解しやすくなります。
