問64の正解: イテクノロジ系/セキュリティ
情報セキュリティのリスクマネジメントにおけるリスクへの対応を、リスク共有,リスク回避、リスク保有及びリスク低減の四つに分類するとき、リスク共有の例として、適切なものはどれか。
この設問が問うていること
セキュリティリスク対策の4分類(回避、低減、共有、保有)のうち、他者へリスクを移転・分散する「リスク共有」について問う設問です。
ア災害によるシステムの停止時間を短くするために、遠隔地にバックアップセンターを設置する。
選択肢アの解説: バックアップセンター設置は、障害発生時のシステム復旧を早め影響を抑える「リスク低減」の例であるため誤りです。
イ情報漏えいによって発生する損害賠償や事故処理の損失補填のために、サイバー保険に加入する。正解
選択肢イの解説: サイバー保険への加入は、金銭的リスクを保険会社に分担・移転する「リスク共有(移転)」の例であり適切です。
ウ電子メールによる機密ファイルの流出を防ぐために、ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
選択肢ウの解説: 送信制限ルールによる流出対策は、発生確率を下げる「リスク低減」の例であるため誤りです。
エノートPCの紛失や盗難による情報漏えいを防ぐために、HDDを暗号化する。
選択肢エの解説: HDD暗号化は、盗難・紛失時のデータ漏えい影響を抑える「リスク低減」の例であるため誤りです。
総合解説
「リスク共有(リスク移転)」とは、自社だけでは負担しきれない損失リスクを、他者(保険会社やアウトソーシング先など)に分担・移転させる対策です。サイバー保険への加入は、事故発生時の金銭的損失を保険会社に移転させるため、典型的なリスク共有の例です。したがって、正解はbです。選択肢a、c、dは、いずれもリスクの発生確率や被害規模を下げるための対策であるため、「リスク低減」に分類されます。
AIAIにその場で質問(デモ応答)
こんな聞き方もできます(タップで質問)