令和3年試験問題 問99

情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。

  • リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
  • リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。
  • リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。
  • リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性を客観的な数値で表す手法は,リスク保有に分類される。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
リスク移転、リスク回避、リスク低減、リスク保有の4つは、リスクアセスメントの結果、対応が必要であると評価されたリスクへの対応策です。それぞれの対応策は次のようなものです。
リスク移転(リスク共有)
他者とリスクを共有すること
例)保険に加入する、リスクのある業務をアウトソーシングする
リスク回避
リスク源を除去して、リスクが現実化する確率をゼロにすること
例)リスクを生じさせる活動を、開始または継続しないと決定する
リスク低減
リスクの起こりやすさ、またはリスクが現実化したときの損失を低下させること
例)機器を二重化する、入退室管理を厳重にする
リスク受容(リスク保有)
リスクを許容し、あえて何の対策も講じないこと
例)対策費用が損害額を上回るので対策をとらない
したがって「ア」が適切です。

Pagetop