▼IP令和3年度:問99 情報セキュリティのリスクマネジメントにおいて、リスク移転、リスク回避、リスク低減、リスク保有などが分類に用いられることがある。これらに関する記述として、適切なものはどれか。
ア リスク対応において、リスクへの対応策を分類したものであり、リスクの顕在化に備えて保険を掛けることは、リスク移転に分類される。
イ リスク特定において、保有資産の使用目的を分類したものであり、マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は、リスク低減に分類される。
ウ リスク評価において、リスクの評価方法を分類したものであり、管理対象の資産が持つリスクについて、それを回避することが可能かどうかで評価することは、リスク回避に分類される。
エ リスク分析において、リスクの分析手法を分類したものであり、管理対象の資産が持つ脆(ぜい)弱性を客観的な数値で表す方法は、リスク保有に分類される。
▼上に出てきた用語の意味
【リスクの移転】リスクが顕在化した場合の損失補償を準備すること。保険が掛けられる場合には、有効な対策の一つとなる。この場合、リスクを保険会社に転嫁(または移転)するともいう。(Wikipedia)
【リスクの低減】本質安全と機能安全などがある。(Wikipedia)
【機能安全】安全方策(安全を確保する為の考え方)の1つ。「監視装置や防護装置などの付加機能によるリスク低減策」。機能や装置の働きによりリスクを許容可能なまでに低減するやり方。(Wikipedia)
【本質安全】例えば踏切では、列車と道路を通行する車輌等との事故の危険がある。安全を確保する為に交差しないというのが本質安全に基づいた考え方である。立体交差にするというのは、事故の原因が少なくなるので、機能安全の考え方を適用したものと言える。(Wikipedia)
【リスクの回避】マネジメントやプロセスなどによりリスクの発生を回避する。たとえば、手順書を作成したりする。(Wikipedia)
【リスクの保有】対策を何もしないこと。リスクを受容するともいう。発生頻度が低く、損害も小さいリスクに対して用いる。(Wikipedia)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
62. 情報セキュリティ管理 >(1) リスクマネジメント :リスクの特定・分析・評価・対応という流れで実施。事故などが発生した際に対処するために、対応マニュアルの整備や教育・訓練などの準備が必要。
〔用語例〕 リスクアセスメント(リスク特定、リスク分析、リスク評価)、リスク対応(リスク回避、リスク共有(リスク移転、リスク分散)、リスク保有)
▼比較:FEのシラバスでの位置付け
2.情報セキュリティ管理 >(2)リスク分析と評価 >⑤ 情報セキュリティリスク対応:
情報セキュリティリスクアセスメントの結果を考慮して、適切な情報セキュリティリスク対応の選択肢を選定し、その選択肢の実施に必要な管理策を決定する。
〔用語例〕リスクコントロール、リスクヘッジ、リスクファイナンシング、リスク回避、リスク共有(リスク移転、リスク分散)、リスク保有、リスク集約、残留リスク、リスク対応計画、リスク登録簿、リスクコミュニケーション
解答ア