情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ 問7: 特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
←情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ
特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
問題本文
特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
選択肢
- ア.外部の者が侵入できないように,入退室をより厳重に管理する。
- イ.情報資産を外部のデータセンタに預託する。
- ウ.情報の新たな収集を禁止し,収集済みの情報を消去する。
- エ.情報の重要性と対策費用を勘案し,あえて対策をとらない。
正解
ウ. 情報の新たな収集を禁止し,収集済みの情報を消去する。
解説
リスク対応のうちリスク回避は、リスクの原因となる活動・資産そのものをやめて損失の可能性を断つ方法。情報の新規収集を禁止し収集済み情報を消去すれば、漏えいの対象自体が無くなる。よってウが回避に該当する。低減(ア)・移転(イ)・受容(エ)と区別する点が問われる。実務では費用や効果から回避・低減・移転・受容を使い分ける。
選択肢ごとの解説
- ア.入退室管理を厳重にするのは発生可能性を下げるリスク低減であり、回避ではない。
- イ.外部データセンタへ預託するのは責任や損失を第三者に移すリスク移転に当たる。
- ウ.情報収集をやめ既存情報も消去して対象自体を無くす点が、リスク回避の正解。
- エ.費用対効果からあえて対策しないのはリスク受容(保有)であり、回避とは異なる。
情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ の過去問一覧へ戻る・問7