ITパスポート過去問 令和3年度(2021年)問99
情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。
選択肢
- ア:リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
- イ:リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。
- ウ:リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。
- エ:リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性(ぜいじゃくせい)を客観的な数値で表す手法は,リスク保有に分類される。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティのリスクマネジメントでは、リスクへの対応(リスク対応)として、リスク移転、リスク回避、リスク低減、リスク保有などに分類して考えることがあります。保険を掛けることは、事故や障害が発生したときの金銭的損失の負担を保険会社に移す考え方なので、リスク移転に分類されます。
Point
この問題は、リスクマネジメントにおけるリスク対応の分類(リスク移転、リスク回避、リスク低減、リスク保有)と、具体例(保険など)がどの分類に当たるかを理解しているかを確認します。
解くために必要な知識
この問題を解くには、リスクマネジメントの流れと、リスク対応の分類(リスク移転、リスク回避、リスク低減、リスク保有)の定義を理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| リスクマネジメント | 組織の資産に対するリスクを特定し、分析し、評価し、対応を決めて実行する一連の活動です。 |
| リスク対応 | リスク評価の結果に基づき、どのように対処するか(回避、低減、移転、保有など)を決めて実施することです。 |
| リスク移転(リスク共有) | 保険加入や契約などによって、リスクが顕在化したときの損失の負担を他者と分担したり、他者に移したりすることです。 |
| リスク回避 | リスクの原因となる活動、計画、機能などをやめて、リスクが起きない状態にすることです。 |
| リスク低減 | 対策を実施して、リスクの発生確率を下げたり、発生時の影響を小さくしたりすることです。 |
| リスク保有(リスク受容) | 対策を追加で行わず、残るリスクを受け入れることです。対策コストが大きい場合などに選ばれます。 |
| 脆弱性(ぜいじゃくせい) | 情報システムやネットワークの弱点や欠陥のことです。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| リスク特定 | どの資産に、どのような脅威があり、どのような弱点があるかなど、リスクを洗い出すことです。 |
| リスク分析 | 特定したリスクについて、発生可能性や影響の大きさを見積もることです。定量・定性の両方があります。 |
| リスク評価 | リスク分析の結果を基準と比べ、対応の要否や優先順位を決めることです。 |
| マルウェア | 悪意をもって作られたソフトウェアの総称です。ウイルスなどが含まれます。 |
問題の解法手順
各選択肢の整理
リスク対応の分類が書かれているかを確認します
リスク移転、リスク回避、リスク低減、リスク保有は、リスク対応の分類として扱われます。
具体例がどの分類かを判断します
| 分類 | 代表例 | 説明 |
|---|---|---|
| リスク移転 | 保険に加入する、契約で損害賠償の負担を分ける | 損失の負担先を自組織以外に移します。 |
| リスク回避 | 業務を中止する、対象システムの利用をやめる | リスクの原因となる活動自体をやめます。 |
| リスク低減 | マルウェア対策ソフト導入、アクセス制御 | 発生確率や影響を小さくします。 |
| リスク保有 | 何もしないで受け入れる | 対策コストなどを踏まえ、リスクを受け入れます。 |
選択肢の判定
| 選択肢 | 分類として述べている内容 | 判定理由 | 正誤 |
|---|---|---|---|
| ア | リスク対応の分類と、保険がどれか | 保険は損失負担を他者に移すため、リスク移転です。 | 正解 |
| イ | リスク特定の分類として述べている | マルウェア対策ソフトはリスク低減の例ですが、リスク特定の分類ではありません。 | 誤り |
| ウ | リスク評価の分類として述べている | 回避はリスク対応の方法であり、リスク評価方法の分類ではありません。 | 誤り |
| エ | リスク分析の分類として述べている | 脆弱性の数値化は分析手法の話であり、リスク保有の説明ではありません。 | 誤り |
選択肢ごとの解説
- ア:正解
リスク移転は、損失が発生したときの負担を第三者に移す対応です。保険加入は、事故や侵害が起きた際の金銭的損失を保険会社が補填する形になるため、リスク移転に分類されます。
- イ:不正解
マルウェア対策ソフトの導入はリスク低減の例ですが、リスク特定の分類ではなく、リスク対応の内容です。
- ウ:不正解
リスク回避は、リスクの原因となる活動をやめるなどのリスク対応の方法です。リスク評価方法の分類として説明するのは適切ではありません。
- エ:不正解
脆弱性を客観的な数値で表すことは、リスク分析で用いられる評価・分析の考え方に当たります。リスク保有(対策をせず受け入れること)の説明ではありません。
まとめ
情報セキュリティのリスクマネジメントでは、リスクへの対応(リスク対応)として、リスク移転、リスク回避、リスク低減、リスク保有などに分類して考えることがあります。保険を掛けることは、事故や障害が発生したときの金銭的損失の負担を保険会社に移す考え方なので、リスク移転に分類されます。
テクノロジ系 > 技術要素 > セキュリティ
リスク移転は、損失が発生したときの負担を第三者に移す対応です。保険加入は、事故や侵害が起きた際の金銭的損失を保険会社が補填する形になるため、リスク移転に分類されます。
マルウェア対策ソフトの導入はリスク低減の例ですが、リスク特定の分類ではなく、リスク対応の内容です。
リスク回避は、リスクの原因となる活動をやめるなどのリスク対応の方法です。リスク評価方法の分類として説明するのは適切ではありません。
脆弱性を客観的な数値で表すことは、リスク分析で用いられる評価・分析の考え方に当たります。リスク保有(対策をせず受け入れること)の説明ではありません。