情報セキュリティのリスクマネジメントにおけるリスク対応を、リスク回避,リスク共有、リスク低減及びリスク保有の四つに分類したとき、リスク共有の説明として、適切なものはどれか。
- ア. 個人情報を取り扱わないなど、リスクを伴う活動自体を停止したり、リスク要因を根本的に排除したりすること
- イ. 災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど、リスクの発生確率や損害を減らす対策を講じること
- ウ. 保険への加入など、リスクを一定の合意の下に別の組織へ移転又は分散することによって、リスクが顕在化したときの損害を低減すること
- エ. リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に、リスクを認識した上で特に対策を講じず、そのリスクを受け入れること
【答え】ウ
【解説】
情報セキュリティのリスクマネジメントにおけるリスク対応は次の4つに分類できます。
| 対応方法 | 説明 | 具体例 |
|---|---|---|
| リスク回避 | リスクのある行動・資産・システム自体をやめることで、リスクを完全になくす | ・クラウド導入を見送り、社内での運用を継続する ・高リスクな外部業務をやめる |
| リスク共有(リスク移転・リスク分散) | リスクの一部または全部を第三者と分け合う | ・保険加入(移転) ・業務委託・アウトソーシング(移転) ・クラスタ化・冗長化(分散) |
| リスク低減 | 発生可能性や影響度を下げることで、リスクを許容可能な範囲にする | ファイアウォール導入、社員教育、アクセス制御、バックアップ実施 |
| リスク保有(リスク受容) | リスクの影響が小さく、対応コストが高いため、あえて対策を講じず保有する | ・年に1回程度の軽微な障害は受け入れる ・手動処理のまま運用を続ける |
各選択肢の解説
ア. 個人情報を取り扱わないなど、リスクを伴う活動自体を停止したり、リスク要因を根本的に排除したりすること
→リスクがある活動そのものをやめる(例:個人情報を扱わない)
→リスク回避に該当
イ. 災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど、リスクの発生確率や損害を減らす対策を講じること
→発生確率や影響を下げる(例:拠点分散)
→リスク低減に該当
ウ. 保険への加入など、リスクを一定の合意の下に別の組織へ移転又は分散することによって、リスクが顕在化したときの損害を低減すること
→損害を保険会社などに分散(リスクを他組織に移す)
→ ⭕ リスク共有に該当
エ. リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に、リスクを認識した上で特に対策を講じず、そのリスクを受け入れること
→損害が小さいと判断し、何もせずにリスクを受け入れる
→リスク保有に該当
以上より、正解はウ.となります。
情報セキュリティ1~情報セキュリティの概要とリスクマネジメント~ 
