2024年(令和6年) ITパスポート午前問64

情報セキュリティのリスクマネジメントにおけるリスクへの対応を、リスク共有、リスク回避、リスク保有及びリスク低減の四つに分類するとき、リスク共有の例として、適切なものはどれか。

　ア

　災害によるシステムの停止時間を短くするために、遠隔地にバックアップセンターを設置する。

　イ

　情報漏えいによって発生する損害賠償や事故処理の損失補填のためにサイバー保険に加入する。

　ウ

　電子メールによる機密ファイルの流出を防ぐために、ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。

　エ

　ノートPCの紛失や盗難による情報漏えいを防ぐために、HDDを暗号化する。

答え　イ

【解説】

ア	災害によるシステムの停止時間を短くするために、遠隔地にバックアップセンターを設置するのは、リスク低減です。(×)
イ	情報漏えいによって発生する損害賠償や事故処理の損失補填のためにサイバー保険に加入するは、リスク共有です。(〇)
ウ	電子メールによる機密ファイルの流出を防ぐために、ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにするのは、リスク保有です。(×)
エ	ノートPCの紛失や盗難による情報漏えいを防ぐために、HDDを暗号化するのは、リスク低減です。(×)

【キーワード】
・リスクマネジメント

キーワードの解説

リスクマネジメント(risk management)
発生(顕在化)する恐れのあるリスク(不確実性)を把握、特定し、そのリスクの発生頻度と影響度から評価を行い、対策を講じることです。
リスクには良いほうに影響する場合のプラスのリスクと、悪いほうに影響するマイナスのリスクがあり、それぞれの対策には

プラスのリスク
- 活用:リスクが顕在化しやすいようにします。
- 共有:同じリスクを他の場合でも保有するようにします。
- 強化:リスクが顕在化したときの影響が大きくなるようにします。
- 保有(受容):何もせず、発生したリスクを受け入れる。
マイナスのリスク
- 移転(転嫁、共有):リスクが発生した場合の責任所在を他者に移したり共有する。
- 回避:リスクのある事業から撤退する。
- 低減:リスクが発生しても被害が少なくなるような対策を取る。
- 保有(受容):何もせず、発生したリスクを受け入れる。

があります。

2024年(令和6年) ITパスポート 午前 問64