ITパスポート 2016年 秋期 問62
問題文
セキュリティリスクへの対応には、リスク移転、リスク回避、リスク受容及びリスク低減がある。リスク低減に該当する事例はどれか。
選択肢
ア:セキュリティ対策を行って、問題発生の可能性を下げた。(正解)
イ:問題発生時の損害に備えて、保険に入った。
ウ:リスクが小さいことを確認し、問題発生時は損害を負担することにした。
エ:リスクの大きいサービスから撤退した。
🔒 解説は解答すると表示されます
セキュリティリスクへの対応には、リスク移転、リスク回避、リスク受容及びリスク低減がある。リスク低減に該当する事例はどれか。【ITパスポート 解説】
正解の理由
まず用語の確認をします。リスクは「危険や損害が発生する可能性」です。リスク対応の代表的な4つは次の通りです(英語も併記します):
- リスク移転(transfer):被害を他に移す。例:保険で損害を補償してもらう。
- リスク回避(avoidance):リスクを生む行為や対象をやめる。例:危険な事業から撤退する。
- リスク受容(acceptance):リスクを受け入れ、発生したら自分で対処する。
- リスク低減(mitigation / reduction):発生する可能性や被害の大きさを下げる対策を取る。
選択肢の中で、セキュリティ対策を行って問題発生の可能性を下げた例は、まさにリスクの「発生確率」や「影響」を小さくする行為です。したがって、選択肢アがリスク低減に該当します。
解法ステップ
- 問題文で求められている対応(今回は「リスク低減」)の意味を短く確認する。
- 各選択肢を「移転・回避・受容・低減」のどれに当たるかで分類する。
- 「問題発生の可能性を下げた」は発生確率や影響を減らす行為なので「低減」と判断する。
短く言えば、「可能性を下げる」→リスク低減→選択肢ア。
選択肢別の誤答解説
-
ア: セキュリティ対策を行って、問題発生の可能性を下げた。
→ 発生確率や被害を小さくする行為なのでリスク低減に該当。正解。 -
イ: 問題発生時の損害に備えて、保険に入った。
→ 損害の負担を他者(保険会社)に移す行為です。リスク移転(transfer)に該当します。低減ではありません。 -
ウ: リスクが小さいことを確認し、問題発生時は損害を負担することにした。
→ 発生したときの損害を自分で受け入れる判断です。リスク受容(acceptance)です。対策で確率を下げるわけではありません。 -
エ: リスクの大きいサービスから撤退した。
→ リスクを生む活動をやめることで、そもそもリスクを発生させない選択です。リスク回避(avoidance)に該当します。
よくある誤解
- 「保険=対策してリスクを減らす」と混同する
- 保険は実際の被害発生を防ぐものではありません。被害が起きた後の金銭的負担を他に移す(移転)手段です。
- 「対策をする=回避」と考える誤り
- 対策でリスクを減らすのは「低減」です。回避はリスク源そのものから離れる(撤退や中止)ことです。
補足コラム
リスク対応は単独で使うことも、組み合わせることもあります。例えば:
- 重要なシステムでまずセキュリティ対策(低減)を行い、残る大きなリスクは保険でカバー(移転)する。
- コストや効果を見て、対策は高額すぎるならリスク受容を選ぶ場合もある。
実務では「リスクの特定 → 分析(発生確率・影響の評価) → 対応方針決定 → 実行・監視」の流れで進めます。これはリスクマネジメントの基本プロセスです。
FAQ
Q1: 「パッチ適用(ソフトの更新)」は低減ですか?
A1: はい。脆弱性(セキュリティの弱点)をふさぐことで攻撃される可能性を下げます。したがってリスク低減です。
A1: はい。脆弱性(セキュリティの弱点)をふさぐことで攻撃される可能性を下げます。したがってリスク低減です。
Q2: 「撤退」も対策の一つですか?
A2: はい。ただしそれはリスク回避です。問題になる可能性そのものを無くす方法です。
A2: はい。ただしそれはリスク回避です。問題になる可能性そのものを無くす方法です。
Q3: 複数の対応を同時に使ってよいですか?
A3: もちろんです。多層的(重ねる)に対策することで、残るリスクを減らしつつ、発生時の影響も抑える運用が一般的です。
A3: もちろんです。多層的(重ねる)に対策することで、残るリスクを減らしつつ、発生時の影響も抑える運用が一般的です。
関連キーワード: リスクマネジメント、リスク低減、リスク移転、リスク回避、リスク受容、セキュリティ対策、情報セキュリティ

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

