令和元年秋期試験 問86

情報セキュリティのリスクマネジメントにおけるリスク対応を,リスクの移転,回避,受容及び低減の四つに分類するとき,リスクの低減の例として,適切なものはどれか。

  • インターネット上で,特定利用者に対して,機密に属する情報の提供サービスを行っていたが,情報漏えいのリスクを考慮して,そのサービスから撤退する。
  • 個人情報が漏えいした場合に備えて,保険に加入する。
  • サーバ室には限られた管理者しか入室できず,機器盗難のリスクは低いので,追加の対策は行わない。
  • ノートPCの紛失,盗難による情報漏えいに備えて,ノートPCのHDDに保存する情報を暗号化する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
リスクの移転、回避、受容及び低減は、それぞれ次のようなリスク対応策です。
リスク移転
保険に加入する、業務を外部委託するなどして、リスクが顕在化したときの損失を他者に移転する方策。
リスク回避
リスクの要因そのものを排除してしまうことでリスクを除去してしまう方策。
リスク受容
リスクに対して何もしない方策。発現確率が低いリスクや、対策費用が損害額を上回るようなリスクに対して採用される。
リスク低減
リスクが顕在化する確率、リスクが顕在化したときの損害のいずれか又は両方を小さくする方策。
これを踏まえて、それぞれの事例が4種のリスク対応のどれに該当するかを考えます。
  • リスク回避の例です。
  • リスク移転の例です。
  • リスク受容の例です。
  • 正しい。損害の発生確率を下げる対策なのでリスク低減の例です。暗号化しても復号されて情報が漏えいしてしまう可能性は残りますのでリスク回避ではありません。

Pagetop