ITパスポート試験

問76

ITパスポート過去問 令和4年度(2022年)問76

情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類するとき,情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。

選択肢

  • リスク回避
  • リスク共有
  • リスク低減
  • リスク保有

正解と解き方・学習ポイント(AI解説)

正解:
あなたの回答:未回答

リスク対応は、回避・共有・低減・保有の4つに分類されます。情報漏えいが起きた場合の損害に備えてサイバー保険に入る行為は、損害の負担を保険会社に移す(分担する)考え方なので、リスク共有に分類されます。

不正解

リスク回避は、リスクの原因となる行為をやめることです。サイバー保険は行為をやめるのではなく、事故後の損害に備える方法なので該当しません。

正解

リスク共有(リスク移転)は、保険などで損害の負担を第三者に移す、または分担することです。サイバー保険への加入はこれに該当します。

不正解

リスク低減は、発生確率を下げたり、被害を小さくしたりするための対策です。保険は事故後の金銭的補償であり、事故の発生確率を下げる対策ではないため該当しません。

不正解

リスク保有は、対策を取らずにリスクを受け入れることです。サイバー保険は保険料を支払って備える対策なので該当しません。

Point

この問題は、リスク対応(回避・共有・低減・保有)の定義を理解し、具体例であるサイバー保険がどれに当たるかを判断できるかを確認しています。

解くために必要な知識

この問題を解くには、リスクマネジメントにおける4つのリスク対応手法の定義を理解する必要があります。

用語の整理

用語名 意味
情報セキュリティ 情報の機密性、完全性、可用性を維持し、情報を適切に保護することです。
リスクマネジメント リスクを特定、分析、評価し、組織にとって適切な対策を選び実施する一連のプロセスです。
リスク回避 リスクの原因となる活動をやめることで、リスクが発生する可能性をなくすことです。
リスク共有(リスク移転) 保険や契約などを通じて、事故発生時の損害や責任の負担を他者に移す、または分担することです。
リスク低減 対策によって、リスクの発生確率を下げる、または発生時の被害(影響)を小さくすることです。
リスク保有 対策を取らずに、リスクを受け入れることです。
サイバー保険 サイバー攻撃や情報漏えいにより生じた損害(賠償責任、調査費用など)を補償する保険です。
情報漏えい 組織が保有する情報が外部に漏れたり流出したりすることです。

 

問題の解法手順

各選択肢の整理

選択肢 内容 正誤 説明
リスク回避 リスクの原因となる業務や活動をやめて、リスクが発生しない状態にします。保険加入は発生そのものを止めないため該当しません。
リスク共有 保険加入により、情報漏えい発生時の損害賠償や対応費用などの金銭的負担を保険会社と分担します。リスク共有(リスク移転)に該当します。
リスク低減 暗号化やアクセス制御などで、発生確率や被害規模を小さくします。保険加入は発生確率や被害規模そのものを小さくしないため該当しません。
リスク保有 リスクを認識した上で、特別な対策を取らずに受け入れます。保険加入は対策を取っているため該当しません。

 

選択肢ごとの解説

不正解

リスク回避は、リスクの原因となる行為をやめることです。サイバー保険は行為をやめるのではなく、事故後の損害に備える方法なので該当しません。

正解

リスク共有(リスク移転)は、保険などで損害の負担を第三者に移す、または分担することです。サイバー保険への加入はこれに該当します。

不正解

リスク低減は、発生確率を下げたり、被害を小さくしたりするための対策です。保険は事故後の金銭的補償であり、事故の発生確率を下げる対策ではないため該当しません。

不正解

リスク保有は、対策を取らずにリスクを受け入れることです。サイバー保険は保険料を支払って備える対策なので該当しません。

まとめ

リスク対応は、回避・共有・低減・保有の4つに分類されます。情報漏えいが起きた場合の損害に備えてサイバー保険に入る行為は、損害の負担を保険会社に移す(分担する)考え方なので、リスク共有に分類されます。

※本解説は生成AIによる学習支援用の参考情報です。内容の正確性や最新性は保証されません。最終的な判断は、試験実施団体の公式資料をご確認ください。

テクノロジ系 > 技術要素 > セキュリティ