科目A問99
情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。
| リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。 | |
| リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。 | |
| リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。 | |
| リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性を客観的な数値で表す手法は,リスク保有に分類される。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ア
解説
リスク移転・リスク回避・リスク低減・リスク保有は、リスクアセスメントの結果、対応が必要と判断されたリスクに対して選択するリスク対応の類型です。概要は次のとおりです。
- リスク移転(リスク共有):損失の負担を第三者と分け合うことです。例として、保険契約やリスクの高い業務の外部委託があります。
- リスク回避:リスクの原因を取り除き、発生確率をゼロにすることです。例として、リスクを生む活動を開始・継続しない判断があります。
- リスク低減:発生しやすさや顕在化時の損失を小さくすることです。例として、機器の冗長化や厳格な入退室管理があります。
- リスク受容(リスク保有):リスクを許容し、あえて対策を講じないことです。例として、対策費が想定損失を上回るため実施しない判断があります。
保険を掛けて備える行為は第三者と損失を分担するため、リスク移転に当たります。よってアが適切です。
- リスク移転(リスク共有):損失の負担を第三者と分け合うことです。例として、保険契約やリスクの高い業務の外部委託があります。
- リスク回避:リスクの原因を取り除き、発生確率をゼロにすることです。例として、リスクを生む活動を開始・継続しない判断があります。
- リスク低減:発生しやすさや顕在化時の損失を小さくすることです。例として、機器の冗長化や厳格な入退室管理があります。
- リスク受容(リスク保有):リスクを許容し、あえて対策を講じないことです。例として、対策費が想定損失を上回るため実施しない判断があります。
保険を掛けて備える行為は第三者と損失を分担するため、リスク移転に当たります。よってアが適切です。
| ア. | リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。 |
| リスク対応の分類を述べており、保険加入は典型的なリスク移転の手段です。適切です。 | |
| イ. | リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。 |
| リスク対応の分類を、リスク特定や資産の使用目的の分類と誤って説明しています。マルウェア対策ソフトのような施策はリスク低減の例ですが、資産をその目的で分類するものではありません。不適切です。 | |
| ウ. | リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。 |
| リスク回避は評価方法の分類ではなく、原因となる活動をやめるなどのリスク対応の一種です。評価段階の「回避可能性で評価する」という説明は誤りです。不適切です。 | |
| エ. | リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性を客観的な数値で表す手法は,リスク保有に分類される。 |
| リスク保有は、リスクを受け入れて対策しないというリスク対応であり、脆弱性を数値化する分析手法の分類ではありません。不適切です。 |