ITパスポート 令和7年度 問91：securityに関する問題

答えは d です。

リスク（危ない事）への対応には4つの選び方があります。

• 回避：危ないことをそもそもやめる
• 移転：保険などで他に肩代わりしてもらう
• 低減：被害を小さくする工夫をする
• 保有：小さいリスクは受け入れてそのままにする

dは「ノートPCの紛失・盗難に備えて持ち出しを厳重に管理する」＝被害が起きにくくする工夫なのでリスク低減で正しいです。

👉 覚え方：4つは“順番に進める手順”ではなく“どれを選ぶか”の選択肢。

ひっかけ：c「保険を掛ける」は移転であって回避ではありません。

なぜこれが正解か

正解は d。リスク対応の4分類は実施「手順」ではなく「選択肢」であり、状況に応じて選ぶ。dの「PCの社外持出しをより厳重に管理する」は、発生確率や被害を抑えるリスク低減に該当し正しい。

各選択肢の解説

• a・b：「順番に進める手順」としている時点で誤り。4つは並列の選択肢で、決まった順序はない。
• c：「保険を掛ける」のは損害を第三者へ移すリスク移転であり、リスク回避（危険な活動自体をやめる）ではない。

覚え方・ひっかけ注意

4分類の判別：「やめる＝回避」「保険・委託で移す＝移転（共有）」「対策で確率/被害を下げる＝低減」「受け入れる＝保有」。最頻ひっかけは「保険＝回避」と誤ること。保険は必ず移転。

理論的背景

情報セキュリティのリスクマネジメントにおけるリスク対応の4分類（移転・回避・低減・保有）は、ISO/IEC 27005（情報セキュリティリスク管理）に基づく概念であり、正解はdの「ノートPCの紛失や盗難に備えて社外への持出しをより厳重に管理することはリスク低減に該当する」である。

4つのリスク対応の定義を詳述する。リスク回避（Risk Avoidance）：リスクを生じさせる活動・プロセスそのものを中止・実施しない判断。例：「個人情報を扱うWebサービスの提供をやめる」「社外へのPC持ち出しを全面禁止にする」。リスク移転（Risk Transfer / Sharing）：リスクの経済的影響を第三者（保険会社・外部委託先）に転嫁・分担する。例：「サイバー保険に加入する」「セキュリティ運用をMSSP（マネージドセキュリティサービスプロバイダー）に委託する」。リスク低減（Risk Reduction / Mitigation）：セキュリティ管理策を実施してリスクの発生確率または影響度を下げる。例：「PC持ち出し管理の厳格化」「暗号化の実施」「アクセス制御の強化」。リスク保有（Risk Acceptance / Retention）：リスクのコストが許容範囲内と判断し、追加対策を実施せず現状のまま受け入れる。例：「低確率・低影響のリスクに対して追加投資を行わない判断」。

選択肢cの誤りの根拠：「保険を掛けることはリスク回避」という説明は誤りであり、保険加入はリスク移転（保険会社に損害賠償コストを転嫁）の典型例である。

実務での使われ方

4分類のリスク対応判断は情報セキュリティ・企業リスク管理の実務において日常的に行われる意思決定プロセスである。

リスク対応の選択基準：残留リスクレベルと対策コストのコスト・ベネフィット分析、組織のリスク許容度（Risk Appetite）・リスク閾値（Risk Threshold）との比較、法令・規制・契約上の義務（コンプライアンス要件）によって対応の選択が決まる。なお実際には複数のリスク対応を組み合わせて適用することが一般的であり、「リスク低減を実施した後の残留リスクに対してリスク保有または移転を適用する」という層状のアプローチが標準的な実務手順である。

ランサムウェア対策での実例：リスク回避「仕事でインターネットに接続しない（非現実的）」・リスク移転「サイバー保険加入」・リスク低減「バックアップ取得・EDR導入・パッチ管理・セキュリティ教育」・リスク保有「中小企業が費用対効果を考慮し一部対策を実施しない判断」という4対応が全て適用可能であり、組み合わせによる多層防御が推奨される。

試験での位置づけ

リスク対応の4分類はITパスポートのセキュリティ分野で安定して出題される重要概念であり、本問のように「4分類の説明として適切か不適切か」を問う形式が典型的である。試験でよく混同されるのは「リスク移転とリスク回避」（保険はどちら？→移転）と「リスク低減とリスク回避」（持ち出し厳格化は低減か回避か→低減・持ち出し全禁止が回避）の区別である。「活動そのものを止める=回避」「活動は続けつつリスクを下げる=低減」というキーワードで区別するのが最も簡明な覚え方である。

基本情報技術者試験では、リスクアセスメントのプロセス（リスク特定→リスク分析→リスク評価）・定量的リスク評価（ALE：年間予想損失額=SLE×ARO）・定性的リスク評価（リスクマトリクス）・リスク処理後の残留リスクの扱いまで出題される。情報処理安全確保支援士試験では、ISO/IEC 27005・NIST SP 800-30（リスクマネジメントガイド）・ISO 31000（リスクマネジメント一般原則）の各フレームワークの比較・統合ERM（Enterprise Risk Management）との整合性まで踏み込んだ知識が必要となる。

選択肢の発展補足

選択肢aの「リスク対応の実施手順であり、リスク回避→移転→低減→保有の順番で進める」という記述は誤りであり、リスク対応に固定の実施順序は存在しない。各リスクの特性・コスト・組織の優先度に応じて適切な対応を選択するものであり、「必ずこの順番」という規定はISO/IEC 27005にも存在しない。選択肢bの「リスク保有→低減→移転→回避の順番」も同様に固定順序の誤った記述である。なお選択肢aとbが示す順番には「残留リスクを段階的に小さくする」という論理的な意味合いはあるが、これはあくまで参考的な考え方であり「原則・手順」ではない。リスク保有の実務では「意識的な保有（Conscious Retention）」として、残留リスクをトップマネジメントが正式に受け入れたという記録（リスク受容記録）を残すことが重要であり、単に対策を実施しない「無意識の保有」とは区別される。