情報セキュリティのリスクマネジメントにおけるリスクへの対応を、リスク共有,リスク回避,リスク保有及びリスク低減の四つに分類するとき、リスク共有の例として、適切なものはどれか。
- ア. 災害によるシステムの停止時間を短くするために、遠隔地にバックアップセンタ一を設置する。
- イ. 情報漏えいによって発生する損害賠償や事故処理の損失補填のために、サイバー保険に加入する。
- ウ. 電子メールによる機密ファイルの流出を防ぐために、ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
- エ. ノートPCの紛失や盗難による情報漏えいを防ぐために, HDDを暗号化する。
【答え】イ
【解説】
リスク対応の4分類をまとめると次のようになります。
| 対応方法 | 説明 | 具体例 |
|---|---|---|
| リスク回避 | リスクのある行動・資産・システム自体をやめることで、リスクを完全になくす | ・クラウド導入を見送り、社内での運用を継続する ・高リスクな外部業務をやめる |
| リスク共有(リスク移転・リスク分散) | リスクの一部または全部を第三者と分け合う | ・保険加入(移転) ・業務委託・アウトソーシング(移転) ・クラスタ化・冗長化(分散) |
| リスク低減 | 発生可能性や影響度を下げることで、リスクを許容可能な範囲にする | ファイアウォール導入、社員教育、アクセス制御、バックアップ実施 |
| リスク保有(リスク受容) | リスクの影響が小さく、対応コストが高いため、あえて対策を講じず保有する | ・年に1回程度の軽微な障害は受け入れる ・手動処理のまま運用を続ける |
各選択肢の解説
ア. 災害によるシステムの停止時間を短くするために、遠隔地にバックアップセンタ一を設置する。
→バックアップセンター設置で被害を小さく
→リスク低減に該当
イ. 情報漏えいによって発生する損害賠償や事故処理の損失補填のために、サイバー保険に加入する。
→保険加入で損害を第三者と分担
→ ⭕ リスク共有に該当
ウ. 電子メールによる機密ファイルの流出を防ぐために、ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
→上司の許可で誤送信リスクを下げる
→リスク低減に該当
エ. ノートPCの紛失や盗難による情報漏えいを防ぐために, HDDを暗号化する。
→HDD暗号化で情報漏えいの被害を軽減
→リスク低減に該当
以上より、正解はイ.となります。
情報セキュリティ1~情報セキュリティの概要とリスクマネジメント~ 
