問題
テクノロジ系
問64 情報セキュリティのリスクマネジメントにおけるリスクへの対応を,リスク共有,リスク回避,リスク保有及びリスク低減の四つに分類するとき,リスク共有の例として,適切なものはどれか。
選択肢
- ア災害によるシステムの停止時間を短くするために,遠隔地にバックアップセンターを設置する。
- イ情報漏えいによって発生する損害賠償や事故処理の損失補填のために,サイバー保険に加入する。
- ウ電子メールによる機密ファイルの流出を防ぐために,ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
- エノートPCの紛失や盗難による情報漏えいを防ぐために,HDDを暗号化する。
解説
正解:イ
概要
この問題は,情報セキュリティのリスク対応(共有・回避・保有・低減)のうち,「リスク共有」に当たる具体例を判別できるかを問う問題です。
正解の理由
リスク共有は,損害が発生したときの金銭的な負担を第三者と分担する考え方で,保険加入などが代表例です。サイバー保険は情報漏えい時の賠償や対応費用を補填し,損失を保険会社と分け合うため正解です。
各選択肢の解説
ア(×): 遠隔地にバックアップセンターを設けて停止時間を短縮するのは,被害の影響を小さくする対策であり,主にリスク低減に当たるため誤りです。
イ(〇): サイバー保険に加入して損害賠償や事故対応費用を補填するのは,損失を保険会社と分担するリスク共有の例なので正しいです。
ウ(×): 添付メール送信に上司承認を必須にして流出を防ぐのは,発生確率を下げる統制であり,リスク低減に当たるため誤りです。
エ(×): HDDを暗号化して盗難・紛失時の漏えいを防ぐのは,被害を抑える対策であり,リスク低減に当たるため誤りです。
ポイント
リスク共有は「保険・委託などで損失負担を外部と分ける」,リスク低減は「対策で起こりにくくする/被害を小さくする」と整理すると覚えやすいです。