情報セキュリティのリスクマネジメントにおけるリスク対応を、リスク移転,リスク回避, リスク低減及びリスク保有の四つに分けて実施することにしたとき、これらに関する記述として、適切なものはどれか。
- ア. リスク対応の実施手順であり、リスク回避,リスク移転、リスク低減、リスク保有の順番で進める。
- イ. リスク対応の実施手順であり、リスク保有, リスク低減, リスク移転、リスク回避の順番で進める。
- ウ. リスク対応の選択肢であり,管理対象としたリスクの顕在化に備えて保険を掛けておくことは、リスク回避に該当する。
- エ. リスク対応の選択肢であり, ノートPC の紛失や盗難に備えて社外への持出しをより厳重に管理することは、リスク低減に該当する。
【答え】エ
【解説】
この問題は「情報セキュリティにおけるリスクマネジメントの対応策の種類とその意味」を正しく理解しているかを問うものです。まずリスク対応の4つの種類を整理しましょう。
- リスク回避:リスクの原因となる行動をやめる(例:危険な業務を中止する)
- リスク移転:他者にリスクを移す(例:保険に入る、業務委託)
- リスク低減:リスクの発生確率や影響を軽減(例:対策ソフトの導入、ルールの強化)
- リスク保有:対応せずにリスクを受け入れる(許容範囲内と判断)
各選択肢の解説
ア. リスク対応の実施手順であり、リスク回避,リスク移転、リスク低減、リスク保有の順番で進める。
→状況や経営判断に応じてどの対応を選ぶかが重要であり、順番は定められていません。
イ. リスク対応の実施手順であり、リスク保有, リスク低減, リスク移転、リスク回避の順番で進める。
→リスクごとに最適な対応を選択するため、順番は関係ありません。
ウ. リスク対応の選択肢であり,管理対象としたリスクの顕在化に備えて保険を掛けておくことは、リスク回避に該当する。
→保険をかけることは損害発生時にその負担を第三者に移す行為なので、これはリスク移転です。リスク回避とは、リスクそのものを取り除くことです(例:その業務を行わない)。
エ. リスク対応の選択肢であり, ノートPC の紛失や盗難に備えて社外への持出しをより厳重に管理することは、リスク低減に該当する。
→ ⭕ 紛失や盗難が発生する可能性や被害の深刻さを減らす対策なので、これは典型的なリスク低減です。例えば、持ち出し申請の徹底、暗号化、ワイヤーロック使用などが該当します。
以上より、正解はエ.となります。
情報セキュリティ1~情報セキュリティの概要とリスクマネジメント~ 
