問題本文
セキュリティリスクへの対応には,リスク移転,リスク回避,リスク受容,リスク低減などがある。リスク移転に該当する事例はどれか。
選択肢
- ア.セキュリティ対策を行って,問題発生の可能性を下げた。
- イ.問題発生時の損害に備えて,保険に入った。
- ウ.リスクが小さいことを確認し,問題発生時は損害を負担することにした。
- エ.リスクの大きいサービスから撤退した。
正解
イ. 問題発生時の損害に備えて,保険に入った。
解説
セキュリティリスク対応の4分類は,リスク回避(リスク源を取り除く・該当事業から撤退),リスク低減(発生確率や影響度を下げる),リスク移転(リスクの影響を第三者に移す),リスク受容(対応せず受け入れる)である. リスク移転の代表例が保険加入で,問題発生時の損失負担を保険会社など第三者に移し,自社の財務的損失を肩代わりさせる. セキュリティ対策の強化は低減,リスクが小さい場合に損害を負担するのは受容,危険な事業からの撤退は回避にそれぞれ該当する. 各分類の典型例を区別する力が問われる典型問題であり,違いを覚えると関連問題に応用できる.
選択肢ごとの解説
- ア.誤り. セキュリティ対策を行って問題発生の可能性を下げる行為は,リスクの発生確率や影響度を低減するリスク低減(リスク軽減)に該当する. リスクの影響を第三者に移転するリスク移転の事例ではないため,本選択肢は本問のリスク移転の事例としては適切ではない.
- イ.正しい. 問題発生時の損害に備えて保険に入る行為は,損失負担を保険会社という第三者へ移転するリスク移転の典型例である. 自社が直接負担すべき財務的影響を保険給付で吸収させる仕組みであり,本選択肢はリスク移転の事例の説明として最も適切で,本問の正解となる.
- ウ.誤り. リスクが小さいことを確認し,問題発生時は損害を負担することにする行為は,リスクの存在を認識した上で対応せず受け入れるリスク受容(リスク保有)に該当する. リスクを第三者に移すリスク移転の事例ではないため,本選択肢は本問の事例としては適切ではない.
- エ.誤り. リスクの大きいサービスから撤退する行為は,リスク源そのものを取り除くリスク回避に該当する. 該当事業を行わないことでリスクを排除する対応であり,リスクの影響を第三者に移すリスク移転とは異なる対応分類であるため,本選択肢は本問の事例としては適切ではない.
ITパスポート 2016年 (平成28年 春期) の過去問一覧へ戻る・問77