ITパスポートの過去問
平成30年度 春期
テクノロジ系 問61

セキュリティリスクの対応にはリスクの影響範囲や大きさ、発生する確立によって、低減、保有、回避、移転の4つに分類されます。
それぞれの違いを理解しておきましょう。

1 . パソコンにウイルスソフトを導入したり、データ破壊に備えてバックアップ取るといった内容はリスクの低減になります。

2 . リスクを保有していても影響がほとんど無い場合は特別な対策を取りません。これはリスクの保有となり、正解です。

3 . 災害などで発生する補填に備えて保険に入ったり、自社のサーバをデータセンターに移しておくことは、リスクの移転になります。

4 . Webサービス自体を停止したり、公開する情報を削除するなど、リスクとなる情報そのものを取り去ることは、リスクの回避になります。

リスク受容にあたるものはどれか、選択肢を一つずつ見ていきましょう。

１．問題発生の可能性を下げるのは、リスク低減にあたります。
よって、誤りです。

２．特段の対応は行わないことは、リスク受容にあたります。
よって、正解です。

３．リスクを他者にうつすことは、リスク移転にあたります。
よって、誤りです。

４．リスクが発生する可能性を取り去ることは、リスク回避にあたります。
よって、誤りです。

情報セキュリティのリスクマネジメントでは、リスクアセスメントとして、まず、発生しうるリスクを特定します。次に、特定したリスクの発生頻度や発生時の損害の規模などを分析します。さらに、分析の結果を評価し、発生頻度や損害規模から各リスクの優先度などを決めます。
アセスメントされた各リスクへの対応策を決め実行します。

特定されたリスクに対して、事前に対応を行わず、許容範囲として容認することをリスク受容といいます。(あえて積極的な対応を行わないという対応)
したがって、２が正解です。
１はリスク低減、３はリスク転化、４はリスク回避の対応です。