問題本文
A社では,自社の情報資産に関するリスク分析を実施した結果,近くの川が氾濫することで会社の1階にあるサーバルームが浸水するおそれがあることが分かった。サーバルームの移転も検討したが,川は100年前に1度氾濫したきりで,その可能性はほとんどないと判断し,特に対策は講じないことを経営層が決定した。A社が選択した情報セキュリティのリスク対応はどれか。
選択肢
- ア.リスクの移転
- イ.リスクの回避
- ウ.リスクの受容
- エ.リスクの低減
解説
情報セキュリティのリスク対応は4分類で整理される. リスクの回避はリスク発生原因そのものを除去する対応(サーバ室の移転・サービスの廃止など),リスクの低減は対策によりリスクの発生確率や影響度を下げる対応(冗長化・防水工事等),リスクの移転は損害発生時の負担を保険等で他者に移す対応,リスクの受容はリスクの大きさが許容範囲内と判断し特に対策を講じずに受け入れる対応に分類される. 本問のA社は「氾濫の可能性がほとんどない」と判断し特に対策を講じないと決定したため,リスクを受け入れた=リスクの受容に該当する. 発生確率が低い・影響が小さい場合の合理的選択肢として受容を採用するのが典型例で,正解はウである.
選択肢ごとの解説
- ア.誤り. リスクの移転は保険加入等で損害発生時の経済的負担を保険会社など他者に移す対応の説明である. 本問では特に対策を講じないと判断しており,保険などの移転策は採用されていないため,本選択肢の移転には該当しないリスク対応の判断となっている.
- イ.誤り. リスクの回避はリスク発生原因そのものを除去する対応(サーバルームの移転や事業撤退など)の説明である. 本問ではサーバルームの移転を検討したものの採用せず,氾濫リスクの原因も残したままにしているため,回避ではなく別のリスク対応分類に該当する判断となっている.
- ウ.正しい. 発生可能性がほとんどないと判断し特に対策を講じないことに決めたのは,リスクを受け入れて発生時に対応する考え方であり,リスクの受容に該当するため. 4分類の中で受容の典型例として位置付けられる対応で,リスクの大きさが小さいと評価された場合の合理的な選択肢である.
- エ.誤り. リスクの低減は対策によりリスクの発生確率や影響度を下げる対応の説明である. 本問では何の対策も講じていない(対策を講じないと経営層が判断した)ため,低減には該当せず,対策を実施しないという判断は別のリスク対応分類に該当する経営判断となっている.
ITパスポート 2016年 (平成28年 秋期) の過去問一覧へ戻る・問89