ITパスポートの過去問
令和元年度 秋期
テクノロジ系 問86

問題文にある通り、情報セキュリティのリスクマネジメントにおいて、リスクの対策としては、以下の4つがあります。

「リスクの移転」：外部（社外、組織外）にリスクを対処してもらう方法です。保険の購入等が該当します。
「リスクの回避」：リスクとなり得る活動そのものを取りやめることで、リスクが発生する可能性そのものを除去する方法です。
「リスクの受容」：リスク対策を取らず、そのリスクを保有し続けることを指します。リスクによる損害が許容範囲である場合や、対策方法がなく何も行わない場合もリスクの受容に該当します。
「リスクの低減」：リスクが発生する可能性を下げる対策、および、リスクが発生した場合、より被害が小さくなるような対策のことです。

上記から、各選択肢がどの対策に分類されるかを確認します。

1.サービスそのものを取りやめているため、リスクの回避に該当します。
2.保険加入はリスクの移転に該当します。
3.対策を行っていないため、リスクの受容に該当します。
4.紛失、盗難といった問題が発生した場合、より被害が少なくなるよう対策を行っているため、リスクの低減に該当します。

したがって、4が正解です。

情報セキュリティ対策におけるリスクマネジメントとは、会社が抱えるセキュリティリスクに対して、どのように対処するかを明確にすることをいいます。
セキュリティリスクへの対応方法として「リスク低減」「リスク回避」「リスク移転」「リスク受容」という4つの分類があります。


１．リスク回避の例ですので、誤りです。

２．リスク移転の例ですので、誤りです。

３．リスク受容の例ですので、誤りです。

４．リスク低減の例ですので、正解です。

情報セキュリティのリスクマネジメントにおける４つのリスク対応は以下になります。

　リスク回避・・・リスクの原因を取り除くこと

　リスク移転・・・業務委託や保険加入などリスクを他者と共有すること

　　　　　　　　　共有ともいいます

　リスク低減・・・リスク発生の確立を下げる、損害を小さくすること

　リスク受容・・・リスクをそのまま受け入れること。保有ともいいます

１．不正解です。リスク回避になります。

２．不正解です。リスク移転になります。

３．不正解です。リスク受容になります。

４．正解です。