問題
問98
情報セキュリティリスクの評価において、リスクを受容するために、組織が許容できる最大限のリスクレベルを何と呼ぶか。
- リスク回避
- リスク許容度
- リスク移転
- リスク低減
正解
正解は「イ」です。
解説
正解は「イ」のリスク許容度です。リスク許容度(リスクアペタイト)とは、組織がその目的を達成するために、自ら進んで受け入れる(または許容する)ことができるリスクの量やレベルを指します。すべてのリスクをゼロにすることは現実的に不可能であり、コストも膨大になります。そのため、組織は「どの程度のリスクまでなら受け入れて事業を進めるか」という基準をあらかじめ設定します。この基準がリスク許容度です。
リスクアセスメント(リスクの特定・分析・評価)の結果、評価されたリスクがこの許容度の範囲内であれば、特別な対策を講じずにそのリスクを受け入れる(リスク受容)という判断がなされます。例えば、「1万円以下の損害が発生する可能性があるリスクは、対策コストをかけるよりも受容した方が合理的だ」と判断するのが、リスク許容度に基づいた意思決定です。
ア(リスク回避):
リスクの原因となる活動そのものを中止することで、リスクが発生する可能性をなくす対応策です。
ウ(リスク移転):
保険への加入や業務委託などによって、リスクによる損失の負担を第三者に移す対応策です。
エ(リスク低減):
セキュリティ対策を導入するなどして、リスクの発生確率や発生した場合の影響を小さくする対応策です。
解法のポイント
情報セキュリティのリスクマネジメントでは、リスク対応の4つの選択肢(リスク回避、リスク移転、リスク低減、リスク受容)と、その判断基準となる用語を理解することが重要です。「リスク許容度」はリスク対応を判断するための「基準」や「レベル」を指す言葉です。一方、他の選択肢は具体的な「対応策(アクション)」を指しています。問題文が「リスクレベル」について問うていることから、リスク許容度が正解であると判断できます。これらの用語の違いを明確に区別しておきましょう。
用語補足
リスク許容度:
「ここまでの損害なら受け入れよう」と決めたラインのことです。健康のために多少の好き嫌いは我慢するが、「これだけは食べないとストレスになる」という許容ラインのようなものです。
情報セキュリティリスク:
情報資産に損害を与える可能性のある事象(脅威)と、その発生確率や影響の大きさのことです。
リスク回避:
リスクを避けることです。例えば、「海外旅行は盗難のリスクがあるから、行かない」と決めるのがリスク回避です。
リスク移転:
リスクを他者に移すことです。「海外旅行で盗難にあうリスクに備えて、旅行保険に入る」のがリスク移転です。万一の際の金銭的負担を保険会社に移しています。
