問題
テクノロジ系
問99 情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。
選択肢
- アリスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
- イリスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。
- ウリスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。
- エリスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆弱性を客観的な数値で表す手法は,リスク保有に分類される。
解説
正解:ア
概要
情報セキュリティのリスクマネジメントでは、特定したリスクに対してどう扱うかを決める際に、回避・低減・移転・保有(受容)などに分類します。
これらの分類がどの工程で何を意味するかを問う問題です。
正解の理由
リスク移転・回避・低減・保有は、リスク対応(リスク処理)で用いる対応方針の分類です。
保険で損害の負担を第三者に移すのは典型的なリスク移転に当たります。
各選択肢の解説
ア(〇): これらはリスク対応での対応方針の分類であり、保険加入で損害の負担を移すのはリスク移転に当たるので正しいです。
イ(×): リスク特定は脅威や脆弱性などを洗い出す工程で、資産の使用目的分類ではありません。またマルウェア対策ソフトは対策であり、分類は資産ではなく対応方針に対して行います。
ウ(×): リスク評価はリスクの大きさや優先度を決める工程で、回避・低減などの分類は評価方法ではなく対応方針の分類です。
エ(×): リスク分析は影響度や発生可能性などを見積もる工程で、脆弱性を数値化する話はあっても、それをリスク保有に分類するのは不適切です。
ポイント
回避・低減・移転・保有は「リスク対応」で選ぶ方針の分類です。
保険は代表的なリスク移転、何もしないで受け入れるのがリスク保有として押さえてください。