IT PASSPORT
ITパスポートの問題解説
問題
情報セキュリティのリスクへの対応(リスクアセスメント後の処理)のうち、「リスク移転(リスク共有)」に該当するものはどれか。
- ア サーバを二重化し、故障時にも業務が止まらないようにして発生確率を下げる。
- イ リスクの大きい事業から撤退し、その業務自体を行わないことにする。
- ウ 情報漏えいによる損害に備えて、サイバー保険に加入する。
- エ 発生してもほとんど影響がないと判断し、特に対策をとらず現状を受け入れる。
出典:オリジナル問題|参考範囲:IPA ITパスポート試験シラバス(最新版)、情報処理技術者試験の基礎知識
正解と解説
正解:情報漏えいによる損害に備えて、サイバー保険に加入する。
解説:リスク対応には大きく、回避・低減(軽減)・移転(共有)・保有(受容)の4つがあります。リスク回避はリスクの源となる活動自体をやめること、リスク低減は対策で発生確率や影響を小さくすること、リスク移転は保険やアウトソーシングなどで損害や対応を第三者に分担・肩代わりさせること、リスク保有は影響が小さいと判断して受け入れることです。保険への加入は、万一の損害を保険会社に引き受けてもらう典型的な移転策です。どの対応を選ぶかは、リスクの大きさと対策コストを比べて決めます。
覚え方:回避(やめる)・低減(減らす)・移転(押し付ける/分担)・保有(受け入れる)の4分類で整理。保険=移転、二重化=低減、撤退=回避、と具体例で結びつけると確実です。
他の選択肢はなぜ違う?
- アサーバの二重化で発生確率や影響を下げるのはリスク低減(軽減)に当たります。リスクを他者へ移すわけではありません。
- イリスクの大きい業務そのものをやめるのはリスク回避です。リスクの原因となる活動を断つ点が移転とは異なります。
- エ影響が小さいとして対策せず受け入れるのはリスク保有(受容)です。第三者へリスクを移す移転とは別の対応です。
この問題について
IPAのITパスポート試験シラバスとIT基礎知識を参考に、Sikaku Master向けに独自作成した問題です。公式試験問題・過去問題の転載ではありません。
IPAの過去問題の転載ではなく、シラバス・公開情報に基づく独自問題として作成しています。