情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度春期 午前 問2: リスク対応のうち，リスクの回避に該当するものはどれか。

問題本文

リスク対応のうち，リスクの回避に該当するものはどれか。

選択肢

• ア.リスクが顕在化する可能性を低減するために，情報システムのハードウェア構成を冗長化する。
• イ.リスクの顕在化に伴う被害からの復旧に掛かる費用を算定し，保険を掛ける。
• ウ.リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる。
• エ.リスクレベルが小さいので特別な対応をとらないという意思決定をする。

正解

ウ. リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる。

解説

リスク対応は，回避・低減（軽減）・移転（共有）・保有（受容）の4つに大別される。リスクの回避とは，リスクを生じさせる活動そのものを取りやめてリスク源を除去することである。リスクレベルが大きいサービスの提供自体をやめる選択肢ウが，活動を中止する回避に該当する。

選択肢ごとの解説

• ア.ハードウェアを冗長化して顕在化の可能性を下げるのはリスク低減（軽減）であり，回避ではない。
• イ.保険を掛けて損失を他者に移すのはリスク移転（共有）であり，回避ではない。
• ウ.リスクレベルの大きいサービスの提供をやめ，リスクを生む活動自体を取りやめているのでリスクの回避に該当する。
• エ.リスクが小さいため特別な対応をとらないと意思決定するのはリスク保有（受容）であり，回避ではない。