ITパスポート過去問 令和1年度(2019年)問86
情報セキュリティのリスクマネジメントにおけるリスク対応を,リスクの移転,回避,受容及び低減の四つに分類するとき,リスクの低減の例として,適切なものはどれか。
選択肢
- ア:インターネット上で,特定利用者に対して,機密に属する情報の提供サービスを行っていたが,情報漏えいのリスクを考慮して,そのサービスから撤退する。
- イ:個人情報が漏えいした場合に備えて,保険に加入する。
- ウ:サーバ室には限られた管理者しか入室できず,機器盗難のリスクは低いので,追加の対策は行わない。
- エ:ノートPCの紛失,盗難による情報漏えいに備えて,ノートPCのHDDに保存する情報を暗号化する。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
リスク対応は、移転、回避、受容、低減に分類して考えます。このうちリスク低減は、管理策を実施してリスクの発生確率や影響度を下げる対応です。ノートPCの紛失や盗難が起きても情報が読まれにくくなるように暗号化する「エ」は、影響度を小さくする対策なのでリスク低減に当たります。
Point
情報セキュリティのリスクマネジメントにおいて、リスク対応を移転、回避、受容、低減に分類し、具体例からどの分類かを判定できるようになることをねらいとしています。特に、管理策の実施によって発生確率や影響度を下げるリスク低減の例を選べることがポイントです。
解くために必要な知識
この問題を解くには、リスク対応の4分類(リスクの移転・回避・受容・低減)それぞれの定義の理解が必要です。
用語の整理
| 用語 | 意味 |
|---|---|
| リスクマネジメント | リスクを特定・分析・評価し、適切な対応を行う一連の管理活動です。 |
| リスク対応 | 分析・評価されたリスクに対して、具体的な対策を決定・実施することです。 |
| リスクの低減 | 対策を実施して、リスクの発生確率や発生時の影響を小さくすることです。 |
| リスクの回避 | リスクの原因となる活動やシステムの利用そのものをやめることです。 |
| リスクの移転(転嫁) | 保険への加入や契約などにより、リスクによる損害の負担を第三者に移すことです。 |
| リスクの受容(保有) | リスクが小さい、または対策コストに見合わないなどの理由で、対策を追加せず受け入れることです。 |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| 暗号化 | データを第三者が読み取れない形式に変換する技術です。 |
| 情報漏えい | 機密情報や個人情報が意図せず外部に流出することです。 |
問題の解法手順
各選択肢を4分類に当てはめる
判断の手順
-
その活動をやめているかを確認します。やめていれば回避です。
-
損害の負担を第三者に移しているかを確認します。移していれば移転です。
-
追加対策をせず現状のまま受け入れているかを確認します。受け入れていれば受容です。
-
技術的・運用的な対策で確率や影響を小さくしていれば低減です。
選択肢の分類
| 選択肢 | 内容 | 分類 |
|---|---|---|
| ア | 情報漏えいリスクを考慮してサービスから撤退する | 回避 |
| イ | 個人情報が漏えいした場合に備えて保険に加入する | 移転 |
| ウ | 盗難リスクが低いので追加の対策は行わない | 受容 |
| エ | 紛失・盗難に備えてHDDの情報を暗号化する | 低減 |
選択肢ごとの解説
- ア:不正解
サービスから撤退して提供をやめるのは、リスクが発生する活動自体をなくす対応です。これはリスク回避に当たります。
- イ:不正解
保険加入は、事故が起きた場合の損害(主に金銭的負担)を保険会社が負担する形にします。リスクそのものを小さくするのではなく負担先を変えるため、リスク移転に当たります。
- ウ:不正解
リスクが低いとして追加対策を行わないのは、残るリスクをそのまま受け入れる対応です。これはリスク受容に当たります。
- エ:正解
ノートPC内の情報を暗号化すると、紛失や盗難が起きても第三者に内容を読まれにくくなり、情報漏えいの影響度を小さくできます。管理策でリスクを小さくするため、リスク低減の例です。
まとめ
リスク対応は、移転、回避、受容、低減に分類して考えます。このうちリスク低減は、管理策を実施してリスクの発生確率や影響度を下げる対応です。ノートPCの紛失や盗難が起きても情報が読まれにくくなるように暗号化する「エ」は、影響度を小さくする対策なのでリスク低減に当たります。
テクノロジ系 > 技術要素 > セキュリティ
サービスから撤退して提供をやめるのは、リスクが発生する活動自体をなくす対応です。これはリスク回避に当たります。
保険加入は、事故が起きた場合の損害(主に金銭的負担)を保険会社が負担する形にします。リスクそのものを小さくするのではなく負担先を変えるため、リスク移転に当たります。
リスクが低いとして追加対策を行わないのは、残るリスクをそのまま受け入れる対応です。これはリスク受容に当たります。
ノートPC内の情報を暗号化すると、紛失や盗難が起きても第三者に内容を読まれにくくなり、情報漏えいの影響度を小さくできます。管理策でリスクを小さくするため、リスク低減の例です。