ITパスポート過去問 令和7年度(2025年)問91
情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク移転,リスク回避,リスク低減及びリスク保有の四つに分けて実施することにしたとき,これらに関する記述として,適切なものはどれか。
選択肢
- ア:リスク対応の実施手順であり,リスク回避,リスク移転,リスク低減,リスク保有の順番で進める。
- イ:リスク対応の実施手順であり,リスク保有,リスク低減,リスク移転,リスク回避の順番で進める。
- ウ:リスク対応の選択肢であり,管理対象としたリスクの顕在化に備えて保険を掛けておくことは,リスク回避に該当する。
- エ:リスク対応の選択肢であり,ノートPCの紛失や盗難に備えて社外への持出しをより厳重に管理することは,リスク低減に該当する。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
リスク対応は、リスク評価の結果を踏まえて「回避・低減・移転・保有」から方針を選ぶものであり、固定の実施順序が決まっているものではありません。ノートPCの社外持出しを厳重に管理する対策は、紛失や盗難の発生確率や影響を小さくするため「リスク低減」に該当します
Point
この問題は、情報セキュリティのリスクマネジメントにおいて、リスク対応の4分類(リスク移転・リスク回避・リスク低減・リスク保有)が「順番」ではなく「選択肢」である点と、各分類に当たる具体例(保険、持出し管理など)を正しく判断できるかを確認するものです。
解くために必要な知識
この問題を解くには、情報セキュリティにおけるリスク対応4分類(回避・低減・移転・保有)の定義を理解している必要があります。
用語の整理
リスク対応
リスク評価後に、リスクへの対処方針(回避・低減・移転・保有)を選び、管理策や運用を決めることです。
4分類の定義
| 分類 | 何をするか(要点) | 例 |
|---|---|---|
| リスク回避 | リスク原因となる活動をやめる、または実施しないことでリスクを発生させないようにします | 危険なサービス提供を中止する、持出しを禁止する(実施しない) |
| リスク低減 | 管理策によって発生確率や影響を小さくします | 持出し手順を厳格化する、暗号化する、二要素認証を導入する |
| リスク移転 | 損失の金銭的負担などを第三者に移します(責任の全てが移るとは限りません) | 保険に加入する、損害補償条項のある契約を結ぶ |
| リスク保有 | 対策コストと効果などを踏まえ、残留リスクを受け入れます | 影響が小さいため追加対策を行わない |
他の選択肢に出てくる用語
リスクマネジメント
リスクの特定、分析、評価、対応、監視などを通じてリスクを管理する一連の活動です。
情報セキュリティ
情報の機密性、完全性、可用性などを保護することです。
問題の解法手順
各選択肢の整理
| 選択肢 | 述べていること | 確認する点 | 判定 |
|---|---|---|---|
| ア | 4分類に実施順序がある | 4分類は手順ではなく方針の選択肢です | 不適切 |
| イ | 4分類に実施順序がある | 4分類は手順ではなく方針の選択肢です | 不適切 |
| ウ | 保険を掛けるのはリスク回避 | 保険は損失負担を第三者に移すためリスク移転です | 不適切 |
| エ | 持出し管理強化はリスク低減 | 発生確率や影響を下げる対策はリスク低減です | 適切 |
選択肢ごとの解説
- ア:不正解
リスク移転、リスク回避、リスク低減、リスク保有は、リスク評価後にどの対応を選ぶかという分類です。特定の順番で実施する手順ではありません。
- イ:不正解
リスク移転、リスク回避、リスク低減、リスク保有は、段階的に進める工程ではありません。対象リスクごとに、許容範囲や対策コストなどを踏まえて選択します。
- ウ:不正解
保険を掛けることは、損害が発生した際の金銭的負担を保険会社に移す考え方なので、原則として「リスク移転」です。「リスク回避」は原因となる活動をやめることを指します。
- エ:正解
ノートPCの社外への持出しをより厳重に管理することは、紛失や盗難の発生確率を下げる対策です。したがって「リスク低減」に該当します。
まとめ
リスク対応は、リスク評価の結果を踏まえて「回避・低減・移転・保有」から方針を選ぶものであり、固定の実施順序が決まっているものではありません。ノートPCの社外持出しを厳重に管理する対策は、紛失や盗難の発生確率や影響を小さくするため「リスク低減」に該当します
テクノロジ系 > 技術要素 > セキュリティ
リスク移転、リスク回避、リスク低減、リスク保有は、リスク評価後にどの対応を選ぶかという分類です。特定の順番で実施する手順ではありません。
リスク移転、リスク回避、リスク低減、リスク保有は、段階的に進める工程ではありません。対象リスクごとに、許容範囲や対策コストなどを踏まえて選択します。
保険を掛けることは、損害が発生した際の金銭的負担を保険会社に移す考え方なので、原則として「リスク移転」です。「リスク回避」は原因となる活動をやめることを指します。
ノートPCの社外への持出しをより厳重に管理することは、紛失や盗難の発生確率を下げる対策です。したがって「リスク低減」に該当します。