▼令和元年度:【テクノロジ系】問86 情報セキュリティのリスクマネジメントにおけるリスク対応を、リスクの移転、回避、受容及び低減の四つに分類するとき、リスクの低減の例として、適切なものはどれか。
ア インターネット上で、特定利用者に対して、機密に属する情報の提供サービスを行っていたが、情報漏えいのリスクを考慮して、そのサービスから撤退する。
イ 個人情報が漏えいした場合に備えて、保険に加入する。
ウ サーバ室には限られた管理者しか入室できず、機器盗難のリスクは低いので、追加の対策は行わない。
エ ノートPCの紛失、盗難による情報漏えいに備えて、ノートPCのHDDに保存する情報を暗号化する。
▼上に出てきた用語の意味
【リスクの移転 risk transfer】例えば、保険への加入。一定の対価を支払うことでリスクが顕現した際の損失を保険会社に引き受けさせることができる。(IT用語辞典 e-Words)
【リスク回避 risk avoidance】例えば、投資の引き揚げ、製品の生産終了、取得した個人情報の破棄など。リスクを伴う活動の中止、リスクを引き起こす要因の根本的な排除など。(IT用語辞典 e-Words)
【リスクの受容 risk retention】例えば、戦争や政変など他の対応が困難・不可能な場合、発生確率や頻度、損害が極めて小さい場合、対策コストが損失額を上回る場合など。リスクを認識した上で、あえて措置を講じず甘んじて受け入れること。(IT用語辞典 e-Words)
【リスクの低減 risk reduction】例えば、火災に備えてスプリンクラーを設置、自然災害に備えてデータセンターを分散する。リスクの発生確率や頻度、損害、損失などを減らすこと。(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
大分類 9:技術要素 > 中分類 23:セキュリティ > 62. 情報セキュリティ管理 >(1) リスクマネジメント
▼比較:FEのシラバスでの位置付け
大分類 3:技術要素 > 中分類 11:セキュリテ > 2.情報セキュリティ管理 >(2)リスク分析と評価 >⑤ 情報セキュリティリスク対応
解答エ