ITパスポート過去問 令和6年度(2024年)問64
情報セキュリティのリスクマネジメントにおけるリスクへの対応を,リスク共有,リスク回避,リスク保有及びリスク低減の四つに分類するとき,リスク共有の例として,適切なものはどれか。
選択肢
- ア:災害によるシステムの停止時間を短くするために,遠隔地にバックアップセンターを設置する。
- イ:情報漏えいによって発生する損害賠償や事故処理の損失補填のために,サイバー保険に加入する。
- ウ:電子メールによる機密ファイルの流出を防ぐために,ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
- エ:ノートPCの紛失や盗難による情報漏えいを防ぐために,HDDを暗号化する。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
リスク共有は、事故が起きたときの損失を自組織だけで負担せず、保険会社などの第三者と分担する対応です。「イ」のサイバー保険への加入は、情報漏えい時の損害賠償や事故処理費用の補填を受けられるため、リスク共有に該当します。
Point
リスク対応を「リスク共有・リスク回避・リスク保有・リスク低減」に分類し、各対策がどれに当たるかを判断できるようになることが目的です。特に、保険加入のように損失の負担先を外部に分ける対応がリスク共有である点を確認します。
解くために必要な知識
この問題を解くには、リスク対応の4つの分類(回避、低減、共有、保有)の理解が必要です。
用語の整理
リスク対応の4分類
| 用語名 | 意味 | 例 |
|---|---|---|
| リスク共有(リスク移転) | リスクが現実になったときの損失を、保険会社や委託先など第三者と分担することです。 | サイバー保険に加入する、契約で責任分担を定める |
| リスク低減 | 対策によって、リスクの発生確率や影響度を小さくすることです。 | 暗号化、アクセス制御、承認手続の導入 |
| リスク回避 | リスクの原因となる活動をやめる、または方法を変えてリスク自体をなくすことです。 | 危険な手段でのデータ持ち出しを禁止し、別手段に変更する |
| リスク保有 | リスクを許容すると判断し、特段の追加対策を行わず、損失は自組織で負担することです。 | 発生頻度・影響が小さいとして追加対策をしない |
関連用語
| 用語名 | 意味 |
|---|---|
| リスクマネジメント | リスクを特定・分析・評価し、対応を決めて管理する一連の活動です。 |
| サイバー保険 | サイバー攻撃や情報漏えいなどに関して、損害賠償、事故対応費用、調査費用などを補償する保険です。 |
| 情報セキュリティ | 情報の機密性、完全性、可用性を維持することです。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| バックアップセンター | 災害などで主系が停止した場合に備え、業務継続のために遠隔地に設置する拠点です。 |
| 暗号化 | データを第三者が読めない形に変換し、鍵などで復元できるようにする技術です。 |
| 情報漏えい | 本来外部に出してはいけない情報が、外部に流出することです。 |
問題の解法手順
各選択肢の整理
| 選択肢 | 対応策の内容 | 分類 |
|---|---|---|
| ア | 遠隔地にバックアップセンターを用意して停止時間を短縮する | リスク低減 |
| イ | 保険に加入して発生した金銭的損失を補填する | リスク共有 |
| ウ | 上司の許可制にして流出の発生確率を下げる | リスク低減 |
| エ | HDDを暗号化して盗難時の情報漏えいの影響を抑える | リスク低減 |
選択肢ごとの解説
- ア:不正解
バックアップセンターの設置は、災害が発生した場合でも停止時間を短くして影響を小さくする対策です。損失の分担ではないため、「リスク共有」ではなく「リスク低減」に分類されます。
- イ:正解
サイバー保険への加入は、情報漏えい時の損害賠償や事故処理の費用などの金銭的損失を、保険会社からの保険金で補填できるようにするものです。損失を第三者と分担するため、「リスク共有」に分類され、正解です。
- ウ:不正解
添付ファイル付きメールの送信を許可制にするのは、誤送信などの発生確率を下げる運用対策です。損失の分担ではないため、「リスク低減」に分類されます。
- エ:不正解
HDDの暗号化は、紛失や盗難が起きた場合でもデータを読み取られにくくし、影響を小さくする技術的対策です。損失の分担ではないため、「リスク低減」に分類されます。
まとめ
リスク共有は、事故が起きたときの損失を自組織だけで負担せず、保険会社などの第三者と分担する対応です。「イ」のサイバー保険への加入は、情報漏えい時の損害賠償や事故処理費用の補填を受けられるため、リスク共有に該当します。
テクノロジ系 > 技術要素 > セキュリティ
バックアップセンターの設置は、災害が発生した場合でも停止時間を短くして影響を小さくする対策です。損失の分担ではないため、「リスク共有」ではなく「リスク低減」に分類されます。
サイバー保険への加入は、情報漏えい時の損害賠償や事故処理の費用などの金銭的損失を、保険会社からの保険金で補填できるようにするものです。損失を第三者と分担するため、「リスク共有」に分類され、正解です。
添付ファイル付きメールの送信を許可制にするのは、誤送信などの発生確率を下げる運用対策です。損失の分担ではないため、「リスク低減」に分類されます。
HDDの暗号化は、紛失や盗難が起きた場合でもデータを読み取られにくくし、影響を小さくする技術的対策です。損失の分担ではないため、「リスク低減」に分類されます。