問題
問91
情報セキュリティのリスクマネジメントにおけるリスク対応を、リスク移転、リスク回避、リスク低減及びリスク保有の四つに分けて実施することにしたとき、これらに関する記述として、適切なものはどれか。
- リスク対応の実施手順であり、リスク回避、リスク移転、リスク低減、リスク保有の順番で進める。
- リスク対応の実施手順であり、リスク保有、リスク低減、リスク移転、リスク回避の順番で進める。
- リスク対応の選択肢であり、管理対象としたリスクの顕在化に備えて保険を掛けておくことは、リスク回避に該当する。
- リスク対応の選択肢であり、ノートPCの紛失や盗難に備えて社外への持出しをより厳重に管理することは、リスク低減に該当する。
[出典:ITパスポート試験 令和7年度 問91]
スポンサーリンク
正解
正解は「エ」です。
解説
リスクマネジメントにおけるリスク対応の一つである「リスク低減」は、リスクの発生確率や影響を軽減するための対策を講じることを意味します。正解の選択肢エでは、「ノートPCの紛失や盗難に備えて、社外への持出しを厳重に管理する」という対策が示されています。これはリスクの存在を前提に、発生の可能性や影響を小さくする工夫であり、まさにリスク低減の具体例です。
一方で、リスク回避はリスクの原因そのものを排除してリスクが発生しないようにすること、リスク移転は保険や契約により第三者にリスクの責任を移すこと、リスク保有はリスクを容認し、特別な対策を取らずにそのまま受け入れる対応です。
したがって、正しいのは選択肢エであり、ノートPCの物理的な管理を厳しくすることはリスク低減に該当します。
ア(リスク対応の実施手順…):
リスク対応には決まった「順番」は存在せず、組織の方針や状況に応じて適切な方法を選ぶため、この記述は誤りです。
イ(リスク保有から順に…):
こちらも「順序」に基づいた分類であり、リスク対応は手順ではなく選択肢であるため、この説明は誤りです。
ウ(保険を掛けることは…):
保険を掛けることはリスクを第三者に移す行為であり、これはリスク移転に該当します。回避ではありません。
難易度
この問題はリスクマネジメントの基本的な分類である「リスク移転」「回避」「低減」「保有」について正確な知識を持っていれば簡単に解けます。実務にも関連する内容のため、比較的覚えやすく、難易度は「やや易しい」と言えるでしょう。
スポンサーリンク
用語補足
リスク低減:
リスクの発生確率や影響を減らすために予防策や対策を講じる方法です。たとえば、パスワードの強化やアクセス制限などが該当します。
リスク移転:
保険の加入や業務委託などにより、リスクの影響を他者に移す方法です。たとえば、災害保険に加入することが該当します。
対策
リスクマネジメントの4つの分類(移転、回避、低減、保有)を正しく理解し、具体的な例と結びつけて覚えることが重要です。実務でよく見られる事例を使って学ぶと記憶にも残りやすく、試験でも正確に対応できます。
