ITパスポート 令和6年度 公開問題(過去問) 問64について解説します。
問題
問64 情報セキュリティのリスクマネジメントにおけるリスクへの対応を、リスク共有、リスク回避、リスク保有及びリスク低減の四つに分類するとき、リスク共有の例として、適切なものはどれか。
ア 災害によるシステムの停止時間を短くするために、遠隔地にバックアップセンターを設置する。
イ 情報漏えいによって発生する損害賠償や事故処理の損失補填のために、サイバー保険に加入する。
ウ 電子メールによる機密ファイルの流出を防ぐために、ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
エ ノートPC の紛失や盗難による情報漏えいを防ぐために、HDD を暗号化する。
解説・解答
リスク対応の4つの分類は下記になります。
1.リスク共有(Sharing)
→ 他者とリスクを分担する。
例:保険に加入する、外部業者に委託する。
2.リスク回避(Avoidance)
→ リスクのある行動自体をやめる。
例:危険な業務を外注せずにやめる。
3.リスク低減(Mitigation)
→ リスクの発生確率や影響を小さくする。
例:ウイルス対策ソフトを導入する。
4.リスク保有(Acceptance)
→ リスクを受け入れて、そのままにする。
例:損害が小さいので対策を取らずに放置。
それぞれの選択肢について確認します。
ア 災害によるシステムの停止時間を短くするために、遠隔地にバックアップセンターを設置する。
これは災害時の影響を小さくする対策で、リスク低減に分類されます。そのため、誤りです。
(例)地震で本社が使えなくなっても、バックアップセンターで業務継続できる。
イ 情報漏えいによって発生する損害賠償や事故処理の損失補填のために、サイバー保険に加入する。
これは損害が発生したときに保険会社が補償してくれるようにする対策で、リスク共有に分類されます。これが正解です。
(例)情報漏えいで損害賠償が発生しても、保険でカバーされる。
ウ 電子メールによる機密ファイルの流出を防ぐために、ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
これは機密情報の誤送信を防ぐ仕組みで、リスク低減に分類されます。そのため、誤りです。
(例)誤送信の確率を下げるためのチェック体制。
エ ノートPC の紛失や盗難による情報漏えいを防ぐために、HDD を暗号化する。
これは万が一盗まれても情報が読めないようにする対策で、リスク低減に分類されます。そのため、誤りです。
(例)ノートPCの盗難による情報漏えいを防ぐ。
以上により、この問題の解答は「イ」になります。
