Skilled は Vue.js のオフィシャルパートナーです

ITパスポートYuya

【情報セキュリティ管理】リスクマネジメントとは?見るだけで受かるITパスポート講座

 

この記事は就活や転職にも役立つ資格、「ITパスポート」についての解説記事です。

今回はネットワークの仕組みを理解するために、試験範囲の”テクノロジー系 情報セキュリティ”に位置づけられるテーマについて、現役エンジニアの著者が分かりやすく解説していきます。

今回は、「リスクマネジメント」というテーマの記事となっています。

記事の後半では過去にITパスポート試験に実際に出題された問題も取り扱っていますのでぜひ最後まで目を通してみてください。

 

リスクマネジメントとは

企業の資産を守るために、予め、企業活動に伴って発生するあらゆるリスクを把握・分析し、それらのリスクの発生頻度や影響度を評価したあと、対応策を考える事を情報セキュリティにおける「リスクマネジメント」といいます。

リスクマネジメント プロジェクトリスクマネジメント 企業

ITパスポート試験のマネジメント系プロジェクトマネジメントで出題される「プロジェクトリスクマネジメント」は「プロジェクトにおけるリスク」を対象としているのに対して、「リスクマネジメント」は「企業全体のあらゆるリスク」を対象としています

本来、企業は会社の資産を守るため全てのリスクに対して適切な対策を行うべきですが、実際は膨大な費用がかかってしまう為、全ての適切な対策を行う事は現実的ではありません。

限られたリソース(ヒト・モノ・カネ・情報などの経営資源)の中で、リスク対策の費用対効果を最大化するために、リスクマネジメントはとても重要です。

 

リスクマネジメントのプロセス

リスクマネジメントは、「リスクアセスメント」と「リスク対応」で成り立っています。

リスクアセスメントは以下の3つのプロセスからなります。

  • 「リスク特定」リスクがどこに、どのような形で存在しているのかを特定する
  • 「リスク分析」特定したリスクの発生頻度と、発生した場合の損害や影響の大きさを調べる
  • 「リスク評価」発生確率と損害の大きさからリスクに優先順位をつける

そして、「リスク対応」とは、具体的な対策を講じたり、そのスケジュールを決定することです。

「リスク対応」の中にはリスク回避、リスク低減、リスク移転、リスク受容といった方法があります。

リスクマネジメント プロセス リスク特定 リスク分析 リスク評価 リスクアセスメント リスク対応

まとめると、リスクマネジメントは以下のような流れで行われているということです。

  1. リスクアセスメント
    1. リスク特定
    2. リスク分析
    3. リスク評価
  2. リスク対応
    • リスク回避
    • リスク低減
    • リスク移転
    • リスク受容

 

ここより先では、②リスク対応の内容4つについて解説していきます。

リスク対応

全てのリスクに対して完全なリスク対応を行うと膨大な費用がかかってしまいます。

リスクマネジメント プロセス リスク対応 リスク回避 リスク低減 リスク移転 リスク受容

リスクアセスメントのリスク評価で決定した優先順位に基づいてリスク対応策を決定します。

リスク対応には「リスク回避」「リスク低減」「リスク移転」「リスク受容」の4つの方法があります。

リスク回避

リスク回避 高確率 影響 外部 不正アクセス サーバ インターネット 切断

リスク要因を停止するか、全く別の方法に変更したりする事でリスク要因を除去し、リスクが発生する可能性を完全に取り去る事を「リスク回避」といいます。

発生確率が高く、発生した場合に損害や影響が大きい場合に実施します。

具体的な対応例として、外部からの不正アクセスのリスクがあるサーバをインターネットから切り離したりする等の対策が挙げられます。

リスク低減

リスク軽減 暗号化 認証システム セキュリティ教育 情報資産 管理 コンピュータ 人材

脆弱性に対して情報セキュリティ対策を導入する事で、問題発生の可能性を下げる事を「リスク低減」といいます。

発生確率が高く、損害や影響は小さい場合に実施します。

具体的な対応例として、暗号化や認証システムの採用、セキュリティ教育の実施、情報資産を管理するコンピュータや人材を複数に分けて管理する等の対策が挙げられます。

リスク移転

リスク移転 保険加入 情報システム 管理 外部 委託

情報資産の管理を外部に委託する等してリスクを他社に移転する事を「リスク移転」といいます。

発生確率は低いが、損害や影響が大きい場合に実施します。

具体的な対応例として、保険に加入する、情報システムの管理を外部に委託する、等の対応策が挙げられます。

リスク受容

リスク受容 受け入れる 予備 時間 確保 対策しない

リスクに対して対策を行わず、許容範囲内として自ら責任や損失を負担する事を「リスク受容」といいます。

発生確率が低く、損害や影響も小さい場合に実施します。

具体的な対応例として、予備の時間や費用を確保する等が挙げられます。

ちなみに、リスク受容は「リスク保有」ともいいます。

 

試験対策用まとめ

今回の記事の要点を、試験対策用に、以下4点にまとめました。

  • 企業活動に伴って発生するリスクに対して、損失を抑える為に最小限の費用で対策を行うプロセスをリスクマネジメントという
  • リスクマネジメントは「特定」「分析」「評価」「対応」の4つのプロセスで行う
  • 「特定」「分析」「評価」までのプロセスをリスクアセスメントという
  • リスク対応は、「回避」「低減」「移転」「受容」の4つがある

ITパスポート試験では、情報セキュリティにおいて、特にリスク対応に関する具体的な事例を問われます。

事例は様々ですので、4つのリスク対応についてしっかり理解しておきましょう!

 

ITパスポートの過去問で実践

それでは、実際にITパスポート試験で出題された、リスクマネジメントに関する問題を解いてみましょう。

令和元年秋期

次の作業a~dのうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。

a : リスク特定

b : リスク分析

c : リスク評価

d : リスク対応

  • ア a,b
  • イ a,b,c
  • ウ b,c,d
  • エ c,d

 

リスクマネジメントは、リスクアセスメントとリスク対応の2つで成り立ちます。

リスクアセスメントは、「リスク特定」→「リスク分析」→「リスク評価」の3つのプロセスを行い、発生時の影響や損害の大きさを評価し対策を講じます。

したがって正解は「イ」となります。

 

平成28年春期

セキュリティリスクへの対応には,リスク移転,リスク回避,リスク受容,リスク低減などがある。
リスク移転に該当する事例はどれか。

  • ア セキュリティ対策を行って,問題発生の可能性を下げた。
  • イ 問題発生時の損害に備えて,保険に入った。
  • ウ リスクが小さいことを確認し,問題発生時は損害を負担することにした。
  • エ リスクの大きいサービスから撤退した。

 

リスクのある業務をアウトソーシングしたり、情報システムの管理を外部に委託したり、損害発生に備えて保険に入る等の対策を行うことで、リスクによる影響を第三者へ移転する事をリスク移転といいます。

保険をかける事は、損害発生時の金銭的なリスクを第三者に移転しているので、「リスク移転」に該当します。

したがって正解は「イ」となります。

 

令和2年秋期

リスク対応を,移転,回避,低減及び保有に分類するとき,次の対応はどれに分類されるか。
〔対応〕
職場における机上の書類からの情報漏えい対策として,退社時のクリアデスクを導入した。

  • ア 移転
  • イ 回避
  • ウ 低減
  • エ 保有

 

クリアデスクとは、席を離れる際に机の上に書類や記憶媒体等を放置しないようにするルールの事です。

クリアデスクを導入する事で、書類や記憶媒体等を盗み見したり、盗まれる等の、情報漏洩リスクが低減します。

従って正解は「ウ」となります。

 

まとめ

情報セキュリティに関する問題は近年より重要度が増していて出題数も増えている傾向にあります。

また、実社会でも情報資産が侵害される懸念は高まっていますから、試験対策としてだけでなく、自分を守る知識の意味も含めて、しっかりと情報セキュリティの内容を押さえておきましょう。

今回は以上です。

本記事の中で分からない用語があった方は関連する記事のリンクが貼ってありますのでそちらもご覧になってください。