リスク対応とは｜低減・回避・移転・受容 | london3.jp

概要

リスク対応とは、リスクアセスメントの結果に基づいて、評価したリスクに対しどう手を打つかを決め、実施することです。リスク対応には大きく「低減・回避・移転・受容」の4つの選択肢があります。

すべてのリスクをゼロにはできないため、リスクの大きさと対策のコストを踏まえ、どの選択肢をとるかを判断します。情報セキュリティ管理の最頻出テーマの一つです。

詳細（4つの選択肢）

対応	内容	具体例
リスク低減	対策を講じてリスクを下げる。	暗号化、アクセス制御、パッチ適用、教育。
リスク回避	リスクの原因となる活動自体をやめる。	リスクの高いサービスの提供中止、機能の廃止。
リスク移転（共有）	リスクを他者に移す・分担する。	サイバー保険への加入、業務の外部委託。
リスク受容（保有）	許容できるリスクとして受け入れる。	影響が小さいリスクを対策せず受け入れる。

リスク対応の4分類「低減・回避・移転・受容」は最頻出。具体例とセットで覚えましょう。特に「保険＝移転」「サービス中止＝回避」「受け入れる＝受容」の対応関係が問われます。

残留リスクとリスク所有者

残留リスク：リスク対応を行ってもなお残るリスク。ゼロにはできないため、許容範囲かを確認する。
残留リスクは、責任者（経営層など）が受容・承認する必要がある。
リスク所有者：そのリスクを管理する権限と責任を持つ人。リスク対応の意思決定を担う。
リスク選好：組織がどの程度のリスクを受け入れるかの方針。

対策をしても残るのが残留リスクです。「対策したから安全」ではなく、「残ったリスクを誰が把握し、許容を判断するか」が重要。リスク所有者と経営層の承認がポイントです。

関連例

ランサムウェア対策として、バックアップ（低減）に加えてサイバー保険（移転）を組み合わせる企業が増えています。一方、影響の小さいリスクにまで過剰な対策費をかけるのは非効率で、軽微なものは受容する判断も必要です。費用対効果を踏まえた選択が求められます。

試験での問われ方

「リスク対応の4分類はどれか」→ 低減・回避・移転・受容。
「サイバー保険への加入はどのリスク対応か」→ リスク移転。
「対応後に残るリスクを何というか」→ 残留リスク。