ITパスポート 2019年 秋期 問86
問題文
情報セキュリティのリスクマネジメントにおけるリスク対応を、リスクの移転、回避、受容及び低減の四つに分類するとき、リスクの低減の例として、適切なものはどれか。
選択肢
ア:インターネット上で、特定利用者に対して、機密に属する情報の提供サービスを行っていたが、情報漏えいのリスクを考慮して、そのサービスから撤退する。
イ:個人情報が漏えいした場合に備えて、保険に加入する。
ウ:サーバ室には限られた管理者しか入室できず、機器盗難のリスクは低いので、追加の対策は行わない。
エ:ノートPCの紛失、盗難による情報漏えいに備えて、ノートPCのHDDに保存する情報を暗号化する。(正解)
🔒 解説は解答すると表示されます
リスク対応(移転・回避・受容・低減)の例の選択【ITパスポート 解説】
正解の理由
ノートPCの紛失・盗難による情報漏えいに備えて、ノートPCのHDD(HDD:ハードディスクドライブ。磁気ディスクでデータを保存する装置)に保存する情報を暗号化(暗号化:データを第三者に読めない形に変えること)する選択肢、エ は「リスクの低減」に該当します。
リスクの低減とは、リスクが現実になったときの「発生しやすさ」や「被害の大きさ」を減らすための対策です。暗号化は、たとえノートPCが盗まれても中のデータを読めなくすることで被害を小さくします。したがって、これは典型的なリスク低減の手段です。
リスクの低減とは、リスクが現実になったときの「発生しやすさ」や「被害の大きさ」を減らすための対策です。暗号化は、たとえノートPCが盗まれても中のデータを読めなくすることで被害を小さくします。したがって、これは典型的なリスク低減の手段です。
解法ステップ
- 問題文で求められているのは「リスクの低減」の具体例かを確認する。
- 各選択肢が「回避(避ける)」「移転(他に負わせる)」「受容(そのまま受け入れる)」「低減(影響や発生確率を下げる)」のどれかに当てはまるかを分類する。
- 「実際に被害が起きたときに被害を小さくするか」を判断する。被害を小さくする手段であれば低減に該当する。
- 当てはめてみて、暗号化は被害(情報の可読性)を小さくするため低減であると結論づける。
選択肢別の誤答解説
- ア: インターネット上のサービスから撤退する。
- これは「回避(リスク回避)」です。リスクの原因そのもの(サービス提供)をやめることで、リスクを発生させない手法です。低減とは異なります。
- イ: 個人情報漏えいに備えて保険に加入する。
- これは「移転(リスク移転)」に該当します。被害発生時の経済的損失を保険会社に転嫁するだけで、発生確率や情報そのものの漏えいを減らす対策ではありません。
- ウ: サーバ室への入室を制限して追加対策を行わない。
- これは「受容(リスク受容)」、または不適切な判断による放置です。リスクを許容して対策を取らないため、低減の例ではありません。実務上はリスク評価に基づく受容が必要で、理由の記録や監視は必須です。
- エ: ノートPCのHDDに保存する情報を暗号化する。
- たとえ機器が紛失・盗難に遭ってもデータが読めなくなるため、被害の大きさ(情報漏えいの影響)を小さくします。よってリスク低減です。
よくある誤解
- 「保険を掛ければリスク低減になる」
- 保険は被害の後始末(損失の補填)に役立ちますが、発生確率や実際の情報漏えいを減らすものではありません。したがって「移転」であり「低減」ではありません。
- 「物理的に安全なら追加対策は不要」
- 「サーバ室にアクセス制限があるから安全」のように判断して対策を止めると、内部犯行や鍵の複製、運用ミスなどでリスクが残ります。リスク評価は多面的に行い、必要なら低減策を重ねる(多層防御)べきです。
- 「暗号化すれば何もしなくてよい」
- 暗号化は強力な低減策ですが、鍵管理が甘ければ意味がありません。鍵の漏えいやバックアップの扱いも含めて運用する必要があります。
補足コラム
- 暗号化の実装例
- フルディスク暗号化(HDD/SSD全体を暗号化する手法)。WindowsのBitLocker(ビットロッカー)、macOSのFileVault(ファイルボルト)などが有名です。
- 暗号鍵の管理:暗号化で重要なのは「鍵(パスワードや鍵ファイル)」の管理です。鍵を安全に保管し、複雑なパスフレーズやTPM(TPM:Trusted Platform Module。暗号鍵を安全に保持する専用チップ)の利用を検討します。
- 付加的対策:遠隔消去(リモートワイプ)、デバイス認証、MDM(MDM:Mobile Device Management、モバイル機器を一元管理する仕組み)などを組み合わせると効果的です。
- リスクマネジメントの基本プロセス(簡単に)
- 特定(何が問題か) 2. 評価(発生確率と影響度を評価) 3. 対応(回避・移転・受容・低減のいずれかを選ぶ) 4. 監視・改善(定期的に見直す)
FAQ
Q1: 暗号化だけで本当に安全ですか?
A1: 暗号化は非常に有効ですが、鍵管理が重要です。鍵が漏れると暗号化の意味がなくなります。暗号化と並行して、アクセス制御や遠隔消去、社員教育も行いましょう。
A1: 暗号化は非常に有効ですが、鍵管理が重要です。鍵が漏れると暗号化の意味がなくなります。暗号化と並行して、アクセス制御や遠隔消去、社員教育も行いましょう。
Q2: HDDとSSDで暗号化の違いはありますか?
A2: 原理的には同じで、どちらも暗号化できます(SSDはフラッシュ記憶)。実装方法やメーカーの機能に差があるため、製品仕様を確認してください。
A2: 原理的には同じで、どちらも暗号化できます(SSDはフラッシュ記憶)。実装方法やメーカーの機能に差があるため、製品仕様を確認してください。
Q3: 保険と暗号化、どちらを優先すべきですか?
A3: 優先は両方です。暗号化で被害を「防ぐ/小さくする」ことが重要で、保険は残った損害の経済的補填として有効です。
A3: 優先は両方です。暗号化で被害を「防ぐ/小さくする」ことが重要で、保険は残った損害の経済的補填として有効です。
Q4: 「受容」はいつ許されますか?
A4: 受容(リスクをそのまま受け入れる)は、影響が小さい、対策コストが利益を上回る、または一時的な判断として合理的な根拠がある場合に限ります。決定は文書化し、監視を続ける必要があります。
A4: 受容(リスクをそのまま受け入れる)は、影響が小さい、対策コストが利益を上回る、または一時的な判断として合理的な根拠がある場合に限ります。決定は文書化し、監視を続ける必要があります。
関連キーワード: リスクマネジメント、リスク対応、リスク低減、リスク移転、リスク回避、リスク受容、暗号化、フルディスク暗号化、HDD、SSD、BitLocker、FileVault、鍵管理、遠隔消去、多層防御、MDM、CIA(機密性・完全性・可用性)

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

