ホーム > 情報処理安全確保支援士試験 > 2015年 秋期
情報処理安全確保支援士試験 2015年 秋期 午前2 問07
特定の情報資産の漏えいに関するリスク対応のうち,リスク回避に該当するものはどれか。
ア:外部の者が侵入できないように、入退室をより厳重に管理する。
イ:情報資産を外部のデータセンタに預託する。
ウ:情報の新たな収集を禁止し,収集済みの情報を消去する。(正解)
エ:情報の重要性と対策費用を勘案し,あえて対策をとらない。
解説
特定の情報資産の漏えいに関するリスク対応のうち、リスク回避に該当するものはどれか【午前2 解説】
要点まとめ
- 結論:リスク回避とはリスクの原因そのものを排除することであり、情報収集の禁止や情報消去が該当します。
- 根拠:リスク回避はリスク発生の可能性をゼロにする対応策で、リスク低減や移転とは異なります。
- 差がつくポイント:リスク回避は「リスクの根源を断つ」こと、他の選択肢はリスク低減や移転に分類される点を理解することが重要です。
正解の理由
選択肢ウ「情報の新たな収集を禁止し、収集済みの情報を消去する」は、情報資産そのものを存在しない状態にすることで、漏えいリスクを根本的に排除しています。これによりリスクの発生源を完全に断つため、リスク回避に該当します。
よくある誤解
リスク回避は単に対策を強化することや費用をかけることではなく、リスクの原因を完全に取り除くことです。対策をとらないことはリスク受容であり、混同しやすい点に注意が必要です。
解法ステップ
- リスク対応の種類(回避、低減、移転、受容)を理解する。
- 問題文の「リスク回避」の定義を確認する。
- 各選択肢がどのリスク対応に該当するか分類する。
- リスク回避はリスクの原因を排除する対応であることを基準に正解を選ぶ。
選択肢別の誤答解説
- ア: 入退室管理の強化はリスク低減に該当し、リスクの発生可能性を減らすが根本排除ではない。
- イ: 外部データセンタへの預託はリスク移転であり、リスク回避ではない。
- ウ: 情報収集禁止と情報消去はリスク回避で、リスクの根源を断つ対応。
- エ: 対策をとらないのはリスク受容であり、リスク回避とは逆の対応。
補足コラム
リスク対応は大きく「回避」「低減」「移転」「受容」の4種類に分類されます。リスク回避は最も根本的な対応ですが、実務ではコストや業務影響を考慮し、必ずしも選択できない場合が多いです。リスクマネジメントでは状況に応じて最適な対応を選ぶことが重要です。
FAQ
Q: リスク回避とリスク低減の違いは何ですか?
A: リスク回避はリスクの原因を完全に排除し発生を防ぐこと、リスク低減はリスクの発生確率や影響を減らすことです。
A: リスク回避はリスクの原因を完全に排除し発生を防ぐこと、リスク低減はリスクの発生確率や影響を減らすことです。
Q: 対策をとらないことはリスク回避ですか?
A: いいえ、対策をとらないことはリスク受容であり、リスク回避とは異なります。
A: いいえ、対策をとらないことはリスク受容であり、リスク回避とは異なります。
関連キーワード: リスク回避, リスク対応, 情報資産漏えい, リスクマネジメント, セキュリティ対策