情報セキュリティ管理(全115問中1問目)

情報セキュリティのリスクマネジメントにおけるリスクへの対応を,リスク共有,リスク回避,リスク保有及びリスク低減の四つに分類するとき,リスク共有の例として,適切なものはどれか。

出典:令和6年春期 問64

  • 災害によるシステムの停止時間を短くするために,遠隔地にバックアップセンターを設置する。
  • 情報漏えいによって発生する損害賠償や事故処理の損失補填のために,サイバー保険に加入する。
  • 電子メールによる機密ファイルの流出を防ぐために,ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
  • ノートPCの紛失や盗難による情報漏えいを防ぐために,HDDを暗号化する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティマネジメントにおける4つのリスク対応策の意味は次のとおりです。
リスク回避
リスク源を除去してリスクが現実化する確率をゼロにすること
リスク移転(リスク共有)
対象業務をアウトソーシングしたり損害保険を掛けたりするなどして、リスクを他者と共有すること
リスク低減
リスクが現実化する確率を低くする、もしくはリスクが現実化したときの損害を小さくすること、またはその両方
リスク受容(リスク保有)
リスクに対してあえてコントロールをしないことを選択し、リスクをそのまま受け入れること
これを踏まえて、それぞれの事例が4種のリスク対応のどれに該当するかを考えます。
  • リスクが現実になったときの損害を小さくする対策なので、リスク低減に該当します。
  • 正しい。保険への加入はリスク共有の代表例です。保険に加入すると、リスクが現実化したときの損害の一部を保険会社に引き受けてもらうことになるので、自社のリスクを下げることができます。
  • 機密ファイルが流出する確率を下げる対策なので、リスク低減に該当します。
  • 紛失時に情報漏えいする確率を下げる対策なので、リスク低減に該当します。

Pagetop