第21問
情報システムにおいては、情報漏 ろう 洩 えい に対する脆 ぜい 弱 じゃく 性に注意するなど情報セキュ リティを高めることが必要である。情報セキュリティにおけるリスクに対処する方 法として、「リスクの低減」、「リスクの保有」、「リスクの回避」、「リスクの移転」の 4 つがある。 このうち、「リスクの保有」に関する記述として、最も適切なものはどれか。
- ア PC の社外への持ち出し禁止など最低限のことだけを行う。
- イ 外部のネットワークからの不正な侵入のようなリスクが生じないように、強固 なファイアウォールを構築する。
- ウ 現状のリスクを分析した結果、大きなリスクと考えられない場合はセキュリ ティ対策をあえて行わない。
- エ 災害による長時間の停止や情報漏洩に備えて、保険に加入しておく。
▼ 解答・解説を見る
正解:ウ
解答:ウ
リスク対応の4分類のうち「リスク保有(受容)」の例を問う。保有とは、損失が小さい等の理由で特段の対策をとらずリスクを受け入れること。
- PCの社外持ち出し禁止など最低限のことだけ行う(×):これは発生確率・影響を下げる対策をとっており「リスク低減」に該当。
- 強固なファイアウォールを構築(×):脅威の侵入を防ぐ対策で、これも「リスク低減」に該当。
- 大きなリスクと考えられない場合は対策をあえて行わない(○):リスクを分析した上で許容できると判断し、対策せず受け入れる。「リスク保有(受容)」の典型例。
- 保険に加入しておく(×):損失を第三者(保険会社)に肩代わりさせるもので「リスク移転」に該当。
よって ウ。