難易度・正答率・重要度
- 難易度: ★★☆☆☆(リスク対応の分類)
- 正答率: ★★★★☆(定義理解)
- 重要度: ★★★☆☆(セキュリティ戦略の基礎)
問題文
情報システムにおいては、情報漏えいに対する脆弱性に注意するなど情報セキュリティを高めることが必要である。情報セキュリティにおけるリスクに対処する方法として、「リスクの低減」、「リスクの保有」、「リスクの回避」、「リスクの移転」の4つがある。
このうち、「リスクの保有」に関する記述として、最も適切なものはどれか。
ア
PCの社外への持ち出し禁止など最低限のことだけを行う。
イ
外部のネットワークからの不正な侵入のようなリスクが生じないように、強固なファイアウォールを構築する。
ウ
現状のリスクを分析した結果、大きなリスクと考えられない場合はセキュリティ対策をあえて行わない。
エ
災害による長時間の停止や情報漏洩に備えて、保険に加入しておく。
出典:中小企業診断協会|2020年度 第1次試験問題|経営情報システム(PDF)
解答
- 正解: ウ
解説
- ア:×
最低限のみの対策は「低減」の一部に該当しうるが、「保有」ではない。保有は対策を講じずリスクを受容する意思決定。 - イ:×
強固なファイアウォールの構築は「リスクの低減(軽減)」。 - ウ:〇
リスクを分析した上で、影響が小さい・発生確率が低いなどの判断により、対策を採らずに受容するのが「リスクの保有(受容)」。 - エ:×
保険加入など第三者へ経済的に転嫁するのは「リスクの移転」。
学習のポイント
- 保有(受容): 許容可能なリスクはコストと効果を比較し、対策なしで受け入れる。
- 低減: 技術・運用で発生確率や影響を下げる(FW、パッチ、教育)。
- 回避: リスク源の活動自体をやめる・範囲から除外する。
- 移転: 保険や外部委託で損失を第三者に移す。