情報セキュリティのリスクマネジメントにおいて、リスク移転、リスク回避,リスク低減、リスク保有などが分類に用いられることがある。これらに関する記述として、適切なものはどれか。
- ア. リスク対応において、リスクへの対応策を分類したものであり、リスクの顕在化に備えて保険を掛けることは、リスク移転に分類される。
- イ. リスク特定において、保有資産の使用目的を分類したものであり、マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は、リスク低減に分類される。
- ウ. リスク評価において、リスクの評価方法を分類したものであり、管理対象の資産がもつリスクについて、それを回避することが可能かどうかで評価することは、リスク回避に分類される。
- エ. リスク分析において、リスクの分析手法を分類したものであり、管理対象の資産がもつ脆弱性を客観的な数値で表す手法は、リスク保有に分類される。
【答え】ア
【解説】
情報セキュリティにおけるリスク対応では、リスクを以下のように分類して、どのように扱うかを決定します。
| 区分 | 内容 |
|---|---|
| リスク回避 | リスクが発生する行為自体をやめる(例:危険な業務を中止) |
| リスク低減 | 対策を講じてリスクの発生確率や影響を下げる(例:ウイルス対策ソフトの導入) |
| リスク移転 | 保険や契約により、リスクの損害を他者に移す(例:サイバー保険、業務委託) |
| リスク保有 | リスクを許容できると判断して、何も対策を取らず受け入れる |
以上より、正解はア.となります。
情報セキュリティ1~情報セキュリティの概要とリスクマネジメント~ 
