情報セキュリティ

基本情報技術者試験リスクアセスメント」の問題

情報セキュリティ情報セキュリティ難易度:normal
H社では、めったに発生しないが発生すれば極めて大きな損害となる災害リスクについて検討している。自社で対策設備を整えるには多額の費用がかかり、費用対効果が見合わない。このリスクへの対応として最も適切なものはどれか。
保険に加入し、発生時の損失負担の一部を契約により第三者へ委ねる。
発生確率の低さを根拠に、追加対策をとらず現状のまま様子を見る。
自社で対策設備を全面的に導入し、被害が生じる可能性そのものを抑える。
対象業務の取扱いを取りやめ、リスクが生じる活動を組織から外す。
正解
保険に加入し、発生時の損失負担の一部を契約により第三者へ委ねる。

低頻度かつ高損害で、自社対策の費用対効果が見合わないリスクには、保険加入により損失負担を契約で第三者へ委ねるリスク移転(共有)が適切である。発生時の経済的打撃を保険金で補填でき、過大な設備投資を避けられる。

?選択肢ごとの解説

ア ○低頻度かつ高損害で、自社対策の費用対効果が見合わないリスクには、保険加入により損失負担を契約で第三者へ委ねるリスク移転(共有)が適切である。発生時の経済的打撃を保険金で補填でき、過大な設備投資を避けられる。
イ ×受容は損害が許容範囲内の小さなリスクに適するが、本件は発生すれば極めて大きな損害となるため、無対策での受容は危険である。
ウ ×対策設備の全面導入(低減)は多額の費用がかかり費用対効果が見合わないと明記されており、合理的選択でない。
エ ×回避は業務そのものの廃止を伴い、事業継続を犠牲にするため、災害という外的リスクに対しては現実的でない。

くわしく

リスク対応は『低減・移転(共有)・受容・回避』の4類型で整理される。選択は『発生頻度×影響度』と『対策コスト』で決まる。低頻度・高影響・高対策コストの象限は移転(保険)が定石である。

本番での押さえどころ

試験のコツ

低頻度・高損害・自社対策が高コストなら『リスク移転(保険)』。4類型とその適用条件を整理しておく。

覚え方

4対応は『減らす・移す・受ける・避ける』。高損害だが滅多に起きない=『移す(保険)』。

よくある誤り

『損害が大きいなら必ず低減』と考え、費用対効果を無視してウを選ぶ。コスト制約下では移転が合理的な場合がある。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0008

【基本情報技術者試験】リスクアセスメントの問題 — 解答・解説|ukamiru 過去問