ITパスポートの過去問
平成28年度 春期
マネジメント系 問44

情報セキュリティマネジメントにおけるリスク対応には、回避、転嫁、軽減、受容などがあり、それぞれの意味は以下のようになります。

・リスク回避
リスクの発生を防いだり、プロジェクトに影響がないようにスコープや目標を変更したりする方法です。

例えば、インターネットからの不正侵入というリスクに対して、ウェブ上での公開を停止してしまうということが考えられます。

・リスク転嫁
リスクによる影響を第三者へ移転することです。

リスクが発生したときのために保険で損失を充当したり、不正侵入やウイルス感染の被害に対して他社に損害賠償を求める契約を結ぶことなどが挙げられます。

・リスク軽減
リスクの影響範囲や損害度合いを狭くしたり、発生確率を軽減する方法です。

情報漏えいなどに備えて情報を暗号化する、サーバ室に不正侵入できないようにバイオメトリック認証技術を用いる、情報セキュリティ教育を実施するなどが考えられます。

・リスク受容
リスクの影響が許容範囲である時、リスクを低減するセキュリティ対策を行わず受容することです。

効果的なセキュリティ対策が見つからない場合や、コストに見合った成果が見られない場合もリスクを受容します。

１．保険をかけることはリスク転嫁に該当します。従って正解です。

２．スコープを縮小することはリスク回避に該当します。

３．リスク軽減に該当します。

４．リスク受容に該当します。

以下、選択肢を確認します。
1 . 正解です。財務的なリスクヘの対応として保険を掛けることは、リスク転嫁です。
2 . 不正解です。スコープを縮小してリスクを回避することは、リスク回避です。
3 . 不正解です。テストを多く実施することは、リスクが発生する確率を下げることになるため、リスク軽減となります。
4 . 不正解です。リスク発生時の対処に必要な予備費用を計上することは、リスク受容になります。

選択肢をひとつずつ見ていきましょう。

１．保険を掛けて保険会社にリスクを保有してもらうことは、リスク転嫁にあたります。
よって、正解です。

２．スコープを縮小してリスクを回避ことは、リスク回避にあたります。
なお、スコープ縮小によりリスクが発生する確率を下げる場合は、リスク軽減にあたります。
どちらにしても、リスク転嫁ではないため、誤りです。

３．テストを多くしてリスクが発生する確率を下げることは、リスク軽減にあたります。
よって、誤りです。

４．リスクの発生は許容してリスクが発生したときの対応費用を増やすのは、リスク受容にあたります。
よって、誤りです。