[情報セキュリティマネジメント試験]リスク対応[無料講座・例題付き!]

2021年4月27日

セキュリティ

今回は情報セキュリティマネジメント試験におけるリスク対応について学習します。

モナ
モナ
リスクアセスメントが終わったら、今度は基準を超えたリスクに対して対応していくニャ
くろん
くろん
具体的にはどんなことをするにゃ?

リスク対応

リスク対応では、算出したリスクの中でも特に重要度の高い物に対して対策を打つ段階です。

リスク対応には4つの対応策があり、予算や優先順位を踏まえて最適な対策を踏みます。

リスク対応は

  • リスクマネジメント
    • リスクアセスメント
      • リスク分析
        • リスク特定
        • リスク算定
      • リスク評価
    • リスク対応
      • リスク回避
      • リスク低減
      • リスク共有
      • リスク保有
    • リスク受容
    • リスクコミュニケーション

に該当するニャ!

リスク回避

リスク管理とは、リスクを生じさせる原因そのものを失くしたり、別の物に置き換えてリスクそのものを取り去る方法です。

根本的にリスクを失くす手段ですが、費用の面だったり、有用なものも付随して処分する必要があるのでデメリットも大きいです。

カズ
カズ
例えば

  • インターネットからのウイルス流入を防ぐため、ネットに繋げなくする
  • リスクの起こりえる業務そのものを廃止する

とかが挙げられるよ!

リスク低減

リスク低減ではリスクの発生率を下げたり、顕在化した(実際に起きてしまった)リスクの影響度を下げる方法です。

0にすると言ったリスク回避とはまた違い、デメリットがそこまで大きくないため現実的な選択肢として候補に挙がります。

ラク
ラク
例えば

  • セキュリティソフトを導入する
  • 社員教育でセキュリティの重要さを教育する
  • パスワードを設定して重要資産を管理する

とかが考えられるな

リスク共有

リスク共有では、リスクを他者と共有する方法です。リスク共有の中でさらに、リスク移転とリスク共有に分かれます。

リスク移転

外部委託によってリスクを外部に移すことです。

例えば保険に加入するなどがあります。

リスク分散

災害等に備えてデータを遠隔地に分散することです。

リスク保有

リスク保有はリスク対策を行わず、許容範囲内として受け入れる方法です。

対策が見当たらない場合やコストが見合っていない場合に意図的に残す場合と、そのリスクが顕在化せず結果的に残る場合があります。

リスク保有の対象としては影響度が小さくなければ、後々大きな問題につながる危険性があります。

キュー
キュー
どのリスクを対処して、どのリスクを保有するかの選択が重要やな!

リスク対応について

最適な対策を打つためにも、リスク対応は4種類に分類されています。

そしてこの4種類のリスクはそれぞれ以下のような関係があります。

  • 基本的にはリスク低減を優先
  • リスクの影響度が大きく、発生確率も高い場合はリスク回避を選択
  • リスクの影響度が小さく、発生確率も低い場合はリスク保有を選択
  • リスクの影響度は大きいが、発生確率は低い場合はリスク共有を選択

このリスク対応を更に2つに分類する場合もあります。

リスクコントロール

リスクコントロールでは、リスクの顕在化を防いだり、万が一顕在化した場合に被害の拡大を防止する方法です。

4つのリスク対応の内のリスク回避リスク低減に該当します。

リスクファイナンシング

リスクファイナンシングでは、リスクが顕在化した際にその損害から復旧させるために金銭面での損害額を補う方法です。

リスクそのものを低減するわけではないので、その点を押さえておきましょう。

4種類のリスクの内、リスク共有のリスク移転と、リスク保有が該当します。

種類 説明 リスクコントロール リスクファイナンシング
リスク回避 リスク自体を失くす ×
リスク低減 リスクの発生率を下げる
リスクの被害を低下させる
×
リスク共有 リスク移転 外部にリスクを移転する
リスク分散 災害に備えてデータを分散管理する ×
リスク保有 敢えてリスク対策をしない ×
スポンサーリンク

リスク対応・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

リスクの顕在化に備えて地震保険に加入するという対応は,JIS Q 31000:2010に示されているリスク対応のうち,どれに分類されるか。(H.28/秋)

ア ある機会を追求するために,そのリスクを取る又は増加させる。
イ 一つ以上の他者とそのリスクを共有する。
ウ リスク源を除去する。
エ リスクを生じさせる活動を開始又は継続しないと決定することによって,リスクを回避する。

問2

リスク対応のうち,リスクの回避に該当するものはどれか。(H.30/春)

ア リスクが顕在化する可能性を低減するために,情報システムのハードウェア構成を冗長化する。
イ リスクの顕在化に伴う被害からの復旧に掛かる費用を算定し,保険を掛ける。
ウ リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる。
エ リスクレベルが小さいので特別な対応をとらないという意思決定をする。

問3

リスク対策の手法のうち,リスクファイナンシングに該当するものはどれか。(H.29/秋)

ア システム被害につながるリスクの発生を抑える対策に資金を投入する。
イ リスクが大きいと評価されたシステムを廃止し,新たなセキュアなシステムの構築に資金を投入する。
ウ リスクが顕在化した場合のシステム被害を小さくする設備に資金を投入する。
エ リスクによってシステムが被害を受けた場合を想定して保険を掛ける。

解説(クリックで展開)

リスク対応・まとめ

今回はリスク対応について学習しました。

それぞれの対応策とリスクの発生確率・被害規模の関係性について押さえておきましょう。

カズ
カズ
リスクコントロールとリスクファイナンスがそれぞれ4つのどの対策と関係しているかも押さえておこう!

次回はリスクに関連する用語について学習します。


スポンサーリンク