ITパスポート 2016年 秋期 問89
問題文
A社では、自社の情報資産に関するリスク分析を実施した結果、近くの川が氾濫することで会社の1階にあるサーバルームが浸水するおそれがあることが分かった。サーバルームの移転も検討したが、川は100年前に1度氾濫したきりで、その可能性はほとんどないと判断し、特に対策は講じないことを経営層が決定した。A社が選択した情報セキュリティのリスク対応はどれか。
選択肢
ア:リスクの移転
イ:リスクの回避
ウ:リスクの受容(正解)
エ:リスクの低減
🔒 解説は解答すると表示されます
サーバ室浸水リスクに対する経営判断【ITパスポート 解説】
正解の理由
A社はリスク(危険や損失が発生する可能性)を分析して、川の氾濫で1階のサーバルームが浸水する可能性を把握しました。しかし、経営層は「100年に1度しか起きておらず可能性はほとんどない」と判断して、対策を特に講じないと決めています。対策を行わずにそのまま受け入れる対応は、リスク対応の分類で「リスクの受容(Accept:リスクを認識した上でそのまま受け入れる)」に該当します。したがって選択肢の中では ウ が正しいです。
補足説明:
- サーバルーム内の「サーバ(サービスを提供するコンピュータ)」や、サーバルームを移転するなどの具体的措置を検討したが、行わなかった点が判断根拠です。
解法ステップ
- 問題文で会社が「実際に何をしたか」を探す。→ 対策は「特に講じない」とある。
- リスク対応の4分類を思い出す(下で簡単に示します)。
- 「何もしない」=リスクをそのまま受け入れる、に対応する選択肢を選ぶ。→ ウ
リスク対応の4分類(簡単に)
- リスクの回避(Avoid):危険な行為をやめる、移転や活動そのものを止める。
- リスクの移転(Transfer):保険や他社に責任を移す。
- リスクの低減(Reduce or Mitigate):対策をして発生確率や影響を減らす。
- リスクの受容(Accept):リスクを許容して特に対策を行わない。
選択肢別の誤答解説
-
ア: リスクの移転
誤りです。移転は「損害を保険でカバーする」や「運用を外部に委託する」など、リスクの負担を他に移す行為を指します。問題文では負担を移していません。 -
イ: リスクの回避
誤りです。回避は「危険な活動をやめる」「サーバルームを高い階へ移す」など、リスク源から離れる行為です。A社は移転を検討したが実行せず、回避はしていません。 -
ウ: リスクの受容
正しいです。A社はリスクがあることを認識した上で、「ほとんど起きない」と判断し、対策を講じない選択をしています。これはリスク受容に該当します。 -
エ: リスクの低減
誤りです。低減は「床を高くする」「浸水対策を行う」「遠隔バックアップを作る」など、発生確率や影響を減らすための具体的対策を講じることです。問題文では特に対策をしていません。
よくある誤解
-
「対策を検討しただけで回避や低減になる」という誤解
検討しただけでは行為は実行したことになりません。選択肢は「実際にどの対応を取ったか」が問われます。 -
「可能性が低い=リスクはゼロ」と考える誤解
低い確率でも影響が大きければ対策を検討すべきことがあります。判断は確率と影響(損害の大きさ)の両方で行います。 -
「受容は放置と同じ」との誤解
受容(Accept)は意図的にリスクを許容する決定であり、記録・監視や将来の見直しを伴うことが多いです。単なる無関心や放置とは異なります。
補足コラム
- 「100年に1度」という表現は、起きないことを意味するわけではありません。確率統計の言い回しであり、まれに発生するリスクがあることを示します。
- リスクを受容する場合でも、次の点は重要です:判断理由の記録、監視(状況が変われば再検討)、インシデント発生時の対応手順(例えばBCP(Business Continuity Plan:事業継続計画))の整備。
- 具体例:浸水リスクを低減する方法には、サーバを2階以上に移す、サーバの冗長化(遠隔地にバックアップ)を行う、保険に加入する(移転)などがあります。各手段は費用と効果のバランスで選びます。
FAQ
Q1. 「リスクの受容」と「放置」はどう違いますか?
A1. 受容はリスクを認識した上で意図的に対策を行わない決定です。放置は認識せず何もしない状態を指すことが多く、管理上は望ましくありません。受容は記録・監視が伴います。
A1. 受容はリスクを認識した上で意図的に対策を行わない決定です。放置は認識せず何もしない状態を指すことが多く、管理上は望ましくありません。受容は記録・監視が伴います。
Q2. 受容はいつ使ってよいですか?
A2. 発生確率が極めて低く、対策コストが高く見合わない場合や、影響が小さい場合に適用されます。ただし定期的な見直しが必要です。
A2. 発生確率が極めて低く、対策コストが高く見合わない場合や、影響が小さい場合に適用されます。ただし定期的な見直しが必要です。
Q3. 受容を選んだ後に災害が起きたらどうする?
A3. 発生後は事後対応(被害の復旧、保険の請求、原因分析)と合わせて、受容判断の見直しと再発防止策の検討が行われます。
A3. 発生後は事後対応(被害の復旧、保険の請求、原因分析)と合わせて、受容判断の見直しと再発防止策の検討が行われます。
関連キーワード: リスク対応、リスク受容、リスク移転、リスク低減、回避、BCP、災害対策、保険、冗長化

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

