ITパスポート試験 ITパスポート 2019年 (令和1年 秋期) 問86: 情報セキュリティのリスクマネジメントにおけるリスク対応を,リスクの移転,回避,受容及び低減の四つに分類するとき,リスクの低減の例として,適切なものはどれか。

問題本文

情報セキュリティのリスクマネジメントにおけるリスク対応を,リスクの移転,回避,受容及び低減の四つに分類するとき,リスクの低減の例として,適切なものはどれか。

選択肢

• ア.インターネット上で,特定利用者に対して,機密に属する情報の提供サービスを行っていたが,情報漏えいのリスクを考慮して,そのサービスから撤退する。
• イ.個人情報が漏えいした場合に備えて,保険に加入する。
• ウ.サーバ室には限られた管理者しか入室できず,機器盗難のリスクは低いので,追加の対策は行わない。
• エ.ノートPCの紛失,盗難による情報漏えいに備えて,ノートPCのHDDに保存する情報を暗号化する。

正解

エ. ノートPCの紛失,盗難による情報漏えいに備えて,ノートPCのHDDに保存する情報を暗号化する。

解説

リスク対応の4分類のうちリスク低減 (リダクション) は対策実施でリスクの発生確率や影響度を下げる対応.HDD暗号化で紛失時の情報漏えい影響を抑える典型的なリスク低減例.

選択肢ごとの解説

• ア.サービス撤退はリスク源を断つリスク回避に該当のため誤りである.
• イ.保険加入は損害を第三者に転嫁するリスク移転で本問の正答ではない.
• ウ.対策しないのは現状容認のリスク受容に該当ので本問の正答ではない.
• エ.正しい.暗号化で漏えい影響を下げるのがリスク低減で正解となる.