ホーム > 情報処理安全確保支援士試験 > 2012年 秋期
情報処理安全確保支援士試験 2012年 秋期 午前2 問09
特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
ア:外部の者が侵入できないように,入退室をより厳重に管理する。
イ:情報資産を外部のデータセンタに預託する。
ウ:情報の新たな収集を禁止し,収集済みの情報を消去する。(正解)
エ:情報の重要性と対策費用を勘案し,あえて対策をとらない。
解説
特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。【午前2 解説】
要点まとめ
- 結論:リスク回避とはリスクの原因そのものを排除することであり、情報収集の禁止と情報消去はこれに該当します。
- 根拠:リスク回避はリスク発生源を断つ対応策であり、情報資産の存在自体をなくすことが最も確実な回避策です。
- 差がつくポイント:リスク軽減やリスク移転と混同せず、リスクを完全に回避する行動かどうかを見極めることが重要です。
正解の理由
選択肢ウ「情報の新たな収集を禁止し,収集済みの情報を消去する。」は、情報資産そのものをなくすことでリスクの発生源を根本的に排除しています。これがリスク回避の定義に合致し、漏えいリスクを完全に回避する方法です。
よくある誤解
リスク回避は単に対策を強化することや外部に移すことではなく、リスクの原因を完全に取り除くことです。対策費用を考慮して放置するのはリスク受容にあたります。
解法ステップ
- リスク対応の種類(回避・軽減・移転・受容)を理解する。
- 問題文の「リスク回避」の意味を確認する。
- 各選択肢がリスクの原因を排除しているか検討する。
- 原因を排除している選択肢を正解と判断する。
選択肢別の誤答解説
- ア: 入退室管理はリスク軽減策であり、リスクの原因を完全に排除していません。
- イ: 外部データセンタへの預託はリスク移転であり、リスク回避ではありません。
- ウ: 情報の収集禁止と消去はリスク回避に該当し、正解です。
- エ: 対策をとらないのはリスク受容であり、回避とは異なります。
補足コラム
リスク対応は4種類に分類されます。リスク回避は最も根本的な対応で、リスク軽減は発生確率や影響を減らすこと、リスク移転は第三者に負担を移すこと、リスク受容はリスクを許容することです。情報セキュリティではリスク回避が理想ですが、コストや業務影響を考慮しバランスを取ることが重要です。
FAQ
Q: リスク回避とリスク軽減の違いは何ですか?
A: リスク回避はリスクの原因を完全に排除すること、リスク軽減はリスクの発生確率や影響を減らすことです。
A: リスク回避はリスクの原因を完全に排除すること、リスク軽減はリスクの発生確率や影響を減らすことです。
Q: 情報資産を消去することはなぜリスク回避になるのですか?
A: 情報資産が存在しなければ漏えいのリスク自体がなくなるため、リスクの根本原因を排除したことになります。
A: 情報資産が存在しなければ漏えいのリスク自体がなくなるため、リスクの根本原因を排除したことになります。
関連キーワード: リスク回避, 情報資産管理, リスク対応, 情報漏えい対策, セキュリティリスク