令和6年度64テクノロジ系

ITパスポート 令和6年度 問64:securityに関する問題

情報セキュリティのリスクマネジメントにおけるリスクへの対応を、リスク共有、リスク回避、リスク保有及びリスク低減の四つに分類するとき、リスク共有の例として、適切なものはどれか。

  • a災害によるシステムの停止時間を短くするために、遠隔地にバックアップセンターを設置する。
  • b情報漏えいによって発生する損害賠償や事故処理の損失補填のために、サイバー保険に加入する。正答
  • c電子メールによる機密ファイルの流出を防ぐために、ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
  • dノート PC の紛失や盗難による情報漏えいを防ぐために、HDD を暗号化する。
正答:B情報漏えいによって発生する損害賠償や事故処理の損失補填のために、サイバー保険に加入する。

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは b「サイバー保険に加入」 です。

リスク共有とは、もしもの損害を自分だけで抱えず、ほかの人(保険会社など)に肩代わりしてもらうこと。火事に備えて火災保険に入るのと同じで、「事故が起きたらお金を出してもらう」発想です。

👉 覚え方:共有=「保険で痛みを分け合う」。

ほかの選択肢:a 遠隔地にバックアップ=被害を小さくする工夫(リスク低減)/c 上司の許可制=流出しにくくする工夫(リスク低減)/d HDDを暗号化=盗まれても読まれにくくする工夫(リスク低減)。bだけが“外の力を借りる”ので共有です。

標準試験対策の基準レベル

なぜこれが正解か

正解は b。リスク共有(リスク移転)は、リスクによる損失の負担を保険・契約・アウトソーシングなどで第三者と分担・転嫁する対応。サイバー保険への加入は、情報漏えい時の損害賠償・事故対応費用を保険会社に肩代わりさせるため、典型的なリスク共有。

各選択肢の解説

  • a 遠隔地バックアップセンター:停止時間の短縮=影響度を下げるリスク低減
  • c 機密ファイル送信に上司承認:流出の発生可能性を下げるリスク低減
  • d HDD暗号化:紛失・盗難時の漏えい可能性を下げるリスク低減

覚え方・ひっかけ注意

4分類は「回避(やめる)/低減(確率や影響を下げる)/共有・移転(保険等で外部と分担)/保有(許容して持ち続ける)」。“保険”と来たら共有とほぼ即決でよい。a・c・dの対策はどれも「自分で対策して被害を小さくする」ので低減と見抜く。

上級誤答論破・背景理論まで深掘り

理論的背景

情報セキュリティリスク対応の4分類はISO/IEC 27005およびJIS Q 27005(情報セキュリティリスクマネジメント)に基づく体系的フレームワークである。リスク共有(Risk Sharing / Risk Transfer)は、リスクの財務的影響を第三者(保険会社・アウトソーシング先)に転嫁することでリスクの所有権を分散させる手法。保険契約のほか、クラウドサービスやMSP(マネージドサービスプロバイダー)への運用委託もリスク共有の一形態となる。リスク低減(Risk Mitigation)はリスクの発生確率や影響度を下げる対策(バックアップ・冗長化・アクセス制御・暗号化など)、リスク回避(Risk Avoidance)はリスク源となる活動・システム自体を廃止・変更すること、リスク保有(Risk Acceptance)は残留リスクとして許容することを指す。

実務での使われ方

サイバー保険(Cyber Liability Insurance)は近年急速に普及したリスク共有の代表例であり、ランサムウェア攻撃・情報漏えい・事業中断損害を補償対象とする。2024年以降、大手企業では取締役会レベルのリスクマネジメント方針にサイバー保険の位置づけを明記することがガバナンスコードの観点から求められるようになっている。ただし保険加入自体は「予防」ではなく「発生後の経済的ダメージ軽減」であり、技術的対策(リスク低減)との組み合わせが前提。保険料算定では組織のセキュリティ成熟度(インシデント対応計画の有無・EDR導入状況・MFA適用率など)が評価指標となるため、リスク低減施策がリスク共有コスト削減にも直結する。ISMSの文脈ではリスク受容基準(Risk Acceptance Criteria)を事前に定め、残留リスクに対してどの対応戦略を選択するかを文書化することが求められる(ISO/IEC 27001:2022、6.1.3節)。

試験での位置づけ

リスクの4分類は毎年複数問出題されるITパスポート最頻出テーマの一つ。本問のようにリスク共有の「実例識別」問題は近年増加しており、単に用語を暗記するだけでなく「なぜ保険がリスク共有なのか(所有権の移転という概念)」を理解していないと選択肢aとbを混同しやすい。選択肢aは遠隔地バックアップによる「ディザスタリカバリ(DR)」であり、リスクの影響を下げるリスク低減に分類される。基本情報技術者(FE)ではISO/IEC 27005のリスク評価プロセス(特定→分析→評価→対応)の順序や、定量的リスク評価(年間予想損失:ALE=ARO×SLE)まで問われるようになる。

選択肢の発展補足

選択肢aの遠隔地バックアップセンター(コールドサイト/ウォームサイト/ホットサイト)はBCP(事業継続計画)の観点から設置されるもので、RTO(目標復旧時間)・RPO(目標復旧時点)を達成するためのリスク低減措置。選択肢cの電子メール添付承認フロー(上司許可制)はDLP(Data Loss Prevention)の運用管理的対策であり、これもリスク低減に該当。選択肢dのHDD暗号化(BitLocker・VeraCrypt等)はPC紛失時でもデータを保護する技術的リスク低減措置。「共有」という語が「複数人で共有する」という日常語と混同されやすいが、リスク共有の本質は「損失負担の外部移転・分散」であり、第三者への保険・委託契約が典型例であることを明確に区別して記憶すること。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和6年度64/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

テクノロジ系の他の過去問

55
security
56
database
57
database
58
technology_element
59
network

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。