ITパスポート 令和4年度 問76：情報セキュリティ・リスクマネジメントに関する問題

答えは b（リスク共有） です。

保険に入るのは、「もし事故が起きたら、その損害（お金）の一部を保険会社に肩代わりしてもらう」こと。つまり危険（リスク）を自分だけで抱えず、外の相手と分け合うのです。これをリスク共有（移転）といいます。

👉 覚え方：「保険＝損を他人と分ける＝リスク共有」。

ほかの選択肢：a リスク回避＝危険なことを“そもそもやめる”／c リスク低減＝対策して危険を“小さくする”／d リスク保有＝小さい損なので“何もせず受け入れる”。保険は『分け合う』なので b です。

なぜこれが正解か

正解は b。サイバー保険への加入は、損害発生時の金銭的負担を保険会社に移す行為であり、リスクを第三者と分担する「リスク共有（リスク移転）」に分類される。リスクそのものを消すのではなく、被害が出た場合の損失を他者と分け合う点が特徴。

各選択肢（4分類）の解説

• a リスク回避：リスクの原因となる活動自体をやめる（例：危険なサービスを廃止）。
• c リスク低減：対策を講じて発生確率や影響を小さくする（例：暗号化・教育）。
• d リスク保有：許容できる小さなリスクを受け入れ、特に対策しない。

覚え方・ひっかけ注意

「保険・アウトソース＝リスク共有（移転）」がド定番。回避（やめる）・低減（減らす）・保有（受け入れる）・共有（分ける）の4語を動詞で区別して覚える。

理論的背景

情報セキュリティリスクマネジメントのリスク対応（Risk Treatment）は ISO/IEC 27005・NIST SP 800-37において「リスク回避・リスク共有（移転）・リスク低減（軽減）・リスク保有（受容）」の4種類に分類される。本問の正解bはサイバー保険への加入が「リスク共有（Risk Sharing）」に分類される理由を問うている。

リスク共有（Risk Sharing：リスク移転とも呼ばれる）は「リスクの財務的な影響を第三者（保険会社・契約相手方等）に転嫁することで、自組織のリスク負担を分散する」対応策である。サイバー保険（Cyber Insurance）は情報漏洩・ランサムウェア・事業中断・第三者への賠償責任等の損害を保険金で補填することで、財務的なリスクを保険会社に移転する。これはリスク事象の発生確率や影響度そのものを下げるわけではなく（リスク低減ではない）、損害が発生した場合の財務的負担を第三者と分かち合う（共有）仕組みである。

選択肢aのリスク回避（Risk Avoidance）は「リスクが発生する活動・状況そのものを行わないことでリスクをゼロにする」対応であり、例として「個人情報を一切収集しない（漏洩リスクをゼロにする）」「クラウドサービスを使わない（クラウド固有リスクを回避する）」が挙げられる。コストが高い・機会損失が大きい場合が多く現実的でないケースも多い。

実務での使われ方

サイバー保険市場は2017年以降急速に成長しており、2023年の世界市場規模は約110億ドルに達し、2030年には400億ドル超が見込まれている。日本でも東京海上日動・損保ジャパン・AIG等がサイバー保険を提供しており、中小企業向けには年間保険料数万円から加入できる商品も登場している。

典型的なサイバー保険の補償範囲として以下がある。①一次損失（直接損害）：不正アクセス・ランサムウェア対応費用・フォレンジック調査費用・事業中断による損失・データ復旧費用。②三次損失（第三者賠償）：情報漏洩による被害者への賠償・規制当局の罰金（GDPR違反のデータ保護制裁金は対象外の場合が多い）。③危機管理費用：PR・法律費用・通知費用。

重要な注意点として、保険会社はサイバー保険の引き受け時に「最低限のセキュリティ管理策の実施」を要件とするケースが増えている。MFA（多要素認証）の実装・EDRの導入・定期的なバックアップ・パッチ管理プログラムの存在等が要件とされ、これらを満たさない場合は保険料が高くなるか引受拒否となる。保険がセキュリティ対策の免除理由にならないという原則が業界で定着しつつある。

試験での位置づけ

ITパスポートの情報セキュリティリスクマネジメント分野で「4種類のリスク対応の識別」は最頻出テーマの一つである。本問の核心は「サイバー保険＝リスク共有（財務的リスクを保険会社に移転）」という対応関係の確定であり、「リスク保有（d）＝何もせず損害が出たら自己負担」との区別が重要なひっかけポイントとなる。保険に加入することでリスク事象の発生そのものを防いでいないことから、「リスク低減（c）でもリスク回避（a）でもない」と論理的に絞り込める。

情報セキュリティマネジメント試験（SG）・情報処理安全確保支援士（SC）では、ISO/IEC 27005のリスクアセスメント手順（リスク特定→分析→評価）・リスク受容基準・リスク対応計画の策定・残留リスクのモニタリング・PDCA全体での継続的リスク管理が詳細に問われる。さらにリスクの定量的評価（リスク値＝発生確率×影響度）と半定量的・定性的評価の違い、BSCを使ったリスク管理のKPI設定まで上位試験の範囲となる。

選択肢の発展補足

選択肢cのリスク低減（Risk Reduction：リスク軽減）は「技術的・組織的管理策を実施してリスクの発生確率または影響度を下げる」対応であり、最もよく取られるリスク対応手段である。具体例として、ファイアウォール・IPS・EDRの導入（技術的管理策）・情報セキュリティ教育（組織的管理策）・アクセス制御の強化・暗号化・パッチ管理プログラムの整備がある。これらはリスクをゼロにするわけではないが発生確率と影響度を現実的なレベルに引き下げる。

選択肢dのリスク保有（Risk Retention：リスク受容）は「リスクの財務的影響が自組織の許容範囲内と判断し、特別な対策をとらずに損害が発生した場合は自己負担で対応する」対応である。費用対効果の観点でリスク低減のコストが期待損失額を超える場合や、発生確率が非常に低い場合に選択される。サイバー保険との違いは「損害発生時の全コストを自組織が負担する（第三者に移転しない）」点である。リスクの「意図的な受容」と「リスクの見逃し（識別漏れ）」は区別して管理することが組織的なリスクマネジメントの基本である。