問99の正解: アテクノロジ系/セキュリティ
情報セキュリティのリスクマネジメントにおいて、リスク移転、リスク回避、リスク低減、リスク保有などが分類に用いられることがある。これらに関する記述として、適切なものはどれか。
この設問が問うていること
リスクマネジメントにおける「リスク対応」の4つのアプローチの定義と具体例について問う設問です。
アリスク対応において、リスクへの対応策を分類したものであり、リスクの顕在化に備えて保険を掛けることは、リスク移転に分類される。正解
選択肢アの解説: 保険をかける対策が「リスク移転」に分類されること、またこれが「リスク対応」段階の活動であることを正確に述べており、正解です。
イリスク特定において、保有資産の使用目的を分類したものであり、マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は、リスク低減に分類される。
選択肢イの解説: リスク低減は「リスク特定」プロセスの分類ではない(リスク対応の分類である)ため誤りです。
ウリスク評価において、リスクの評価方法を分類したものであり、管理対象の資産がもつリスクについて、それを回避することが可能かどうかで評価することは、リスク回避に分類される。
選択肢ウの解説: リスク回避は「リスク評価」プロセスの分類ではない(リスク対応の分類である)ため誤りです。
エリスク分析において、リスクの分析手法を分類したものであり、管理対象の資産がもつ脆弱性を客観的な数値で表す手法は、リスク保有に分類される。
選択肢エの解説: リスク保有は「リスク分析」プロセスの分類ではない(リスク対応の分類である)ため誤りです。
総合解説
リスクアセスメント(特定・分析・評価)の結果をうけて、検出されたリスクに対処する段階を「リスク対応」と呼びます。リスク対応には以下の4つのアプローチがあります。 ・リスク回避:リスク原因となる事業や作業自体を中止・削除する。 ・リスク低減(軽減):セキュリティ対策を講じて、発生確率や影響度を下げる(例:ウイルス対策ソフトの導入)。 ・リスク移転(共有):保険の加入やアウトソーシング等により、他者にリスク負担を肩代わりさせる。 ・リスク保有(受容):リスクの発生頻度や影響が小さいため、特に対策を行わずに許容する。 保険をかけることは「リスク移転」に合致するため、aが正解です。b、c、dはリスク対応以外のプロセス(特定、評価、分析)の分類としている点が不適切です。
AIAIにその場で質問(デモ応答)
こんな聞き方もできます(タップで質問)