問題を作る側には、ちょっとした「種」がある。今日はそれを一つ、自分でばらしてしまおうと思う。テーマはITパスポートの情報セキュリティで定番の「リスク対応の4分類」。回避・低減・移転・保有——この4つ、単語帳で暗記するより、実は1問解くほうが早い。なぜそう言い切れるのか。問題を作った本人だから知っている理由を、あとで種明かしする。
自転車の盗難で、4分類は一気に片づく
リスク対応とは、見つけたリスクに「どう向き合うか」の方針決めだ。愛用の自転車が盗まれるかもしれない、という場面に置き換えるとこうなる。
| 分類 | 自転車なら | 何をしているか |
|---|---|---|
| 回避 | 乗るのをやめる | リスクの原因ごとなくす |
| 低減 | 頑丈な鍵をつける | 起こる確率や被害を小さくする |
| 移転 | 盗難保険に入る | 損失を他者に肩代わりしてもらう |
| 保有 | 気にせずそのまま乗る | リスクを受け入れる |
要注意なのは移転の性質。保険に入っても、自転車は盗まれるときは盗まれる。リスクそのものは消えず、被害が出たあとの金銭的な負担だけがよそへ移る。ここを押さえておくと、試験の選択肢がぐっと見分けやすくなる。
では1問。「保険」が出てきたら
当サイトの標準レベルの1問は、リスク移転に該当するものを選ばせる問題だ。選択肢をざっくり要約すると——ウイルス対策ソフトで感染の可能性を下げる/可能性が極めて低いと判断して対策せず受け入れる/サイバー保険に加入して損失を保険会社に補償してもらう/危険性の高い業務そのものをやめる、の4つ。
さっきの表をそのまま当てはめれば、答えはサイバー保険の一択。対策ソフトは頑丈な鍵(低減)、受け入れは保有、業務をやめるのは回避だ。
誤答の正体——ここが種明かし
気づいただろうか。誤答の3つが、きれいに残り3分類の実例になっている。これは偶然ではない。この問題を作ったとき、誤答は「低減・保有・回避の典型例を1つずつ置く」と決めて設計した。各選択肢の解説データにも、その割り当てがそのまま記録してある。
だからこの形式の問題は、正解を1つ選んで終わりにするともったいない。誤答3つに「これは低減、これは保有、これは回避」とラベルを貼れて、初めて満点の使い方になる。1問で4分類まるごと復習できる——コスパで言えば最強クラスの問題形式だと、作った側として自信を持って言える。
難しめの1問で仕上げ。「リスク共有」という別名
もう1問、一段難しい類題にも触れておきたい。こちらは問題文が「リスク移転(リスク共有)」と、2つの呼び名を併記している。移転は保険だけでなく、アウトソーシングのように損害や対応を第三者に分担・肩代わりしてもらう形も含むから、「共有」とも呼ばれるのだ。本番でどちらの名前に出会っても、同じものだと分かればそれでいい。
ちなみにこちらの誤答も、サーバの二重化(低減)・リスクの大きい事業からの撤退(回避)・影響がほとんどないので受け入れる(保有)と、やはり残り3分類がそろっている。そして実務では、どの対応を選ぶかはリスクの大きさと対策コストを比べて決める。保険料のほうが高くつくなら、あえて保有を選ぶのも立派な判断というわけだ。
種を知ってしまえば、あとは手を動かすだけ。情報セキュリティはテクノロジ系で最も出題される小分類なので(詳しくは出る順の記事で)、ITパスポートの演習で「誤答にラベルを貼る」解き方をぜひ試してほしい。用語の確認は用語集でどうぞ。