分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

リスク対応は、リスク評価で下された結果をもとにリスクを最適化するプロセスです。情報セキュリティマネジメントシステムに関する用語を定義したJIS Q 27000では、リスク対応の例が挙げられています。

• リスクを生じさせる活動を，開始又は継続しないと決定することによって，リスクを回避すること
• ある機会を追求するために，リスクをとる又は増加させること。
• リスク源を除去すること。
• 起こりやすさを変えること。
• 結果を変えること。
• 一つ以上の他者とリスクを共有すること（契約及びリスクファイナンシングを含む。）
• 情報に基づいた選択によって，リスクを保有すること。

リスクのうちマイナスの結果をもたらすものへの対応策は以下の4つがあります。

回避(かいひ)

リスクそのものを取り除いたり、プロジェクトに影響がないようにスコープや目標を縮小・変更する方策。

移転(いてん)

リスクによる影響を第三者へ移転すること。リスクのある業務や作業をアウトソーシングしたり、損害の発生に備えて損害賠償保険を掛けたりすることでリスクの影響を他者に移す対応策。

軽減(けいげん)

リスクの影響範囲や損害度合いを狭くしたり、発生確率を低減するような方策。

受容(じゅよう)

リスクが現実化した時の影響が許容可能な範囲内である時に、特段対策をせずにそのままにしておくこと。対策費用が予想される損失金額を上回っているときなどに採られる方策。

選択肢の事例をそれぞれの対応戦略に当てはめると以下のようになります。

• リスクの発生確率を低下させる策なので"リスク低減"に該当します。
• 正しい。保険をかけることで金銭的なリスクを他者に移転しているため"リスク移転"に該当します。
• 損害を許容する策なので"リスク受容"に該当します。
• リスクそのものを除去する策なので"リスク回避"に該当します。