情報セキュリティにおけるリスクの対処方法 - 中小企業診断士 経営情報システム 令和2年 第21問

ピックアップ過去問解説

問題

情報システムにおいては、情報漏洩(ろうえい)に対する脆弱(ぜいじゃく)性に注意するなど情報セキュリティを高めることが必要である。情報セキュリティにおけるリスクに対処する方法として、「リスクの低減」、「リスクの保有」、「リスクの回避」、「リスクの移転」の4つがある。

このうち、「リスクの保有」に関する記述として、最も適切なものはどれか。

ア PC の社外への持ち出し禁止など最低限のことだけを行う。

イ 外部のネットワークからの不正な侵入のようなリスクが生じないように、強固なファイアウォールを構築する。

ウ 現状のリスクを分析した結果、大きなリスクと考えられない場合はセキュリティ対策をあえて行わない。

エ 災害による長時間の停止や情報漏洩に備えて、保険に加入しておく。


解答・解説

解答:ウ

本問では、情報セキュリティにおけるリスクに対処する方法について問われています。
リスクコントロールの方法に関する知識がなくても、一般的な判断である程度選択肢を絞れる問題です。

まず、リスクコントロールの方法について、簡単に確認しておきましょう。

リスクコントロール:「リスク」とは「不確実性」の意味であり、リスクコントロールとは「脅威が発生する可能性を管理すること」となります。
リスクの低減:自らが保有する脆弱性に対して適切なセキュリティ対策を実施することにより、脅威が発生する可能性を下げることです。
リスクの保有:リスクがあまり大きくない場合に採用される方法で、特別な対処を行わず、自らの責任でリスクを受け入れることです。
リスクの回避:脅威が発生する状況を避けることで、リスクをゼロにすることです。
リスクの移転:脅威が発生した場合の責任を他者に移転する方法です。たとえば火災保険に加入することで、万が一火災が発生した場合の損失補償を保険会社の責任とすることができます。


それでは、選択肢を見ていきましょう。

選択肢アですが、PCの社外持ち出しの禁止について書かれています。PCの社外持ち出しを禁止にすれば、外出先でPCを紛失したりPCから情報が流出したりする可能性はゼロになります。よって、これはリスク回避の手法であり、選択肢の内容は不適切です。

選択肢イですが、強固なファイアウォールの構築について書かれています。強固なファイアウォールを構築することにより、不正侵入のような脅威が発生する可能性を下げることができます。よって、これはリスク低減の手法であり、選択肢の内容は不適切です。

選択肢ウですが、大きなリスクと考えられない場合はセキュリティ対策をあえて行わないことについて書かれています。これはリスク保有の手法であり、選択肢の内容は適切です。よって、これが正解となります。

選択肢エですが、災害による長時間の停止や情報漏洩に備えて保険に加入することが書かれています。これはリスク移転の手法であり、選択肢の内容は不適切です。

本問のように、その分野の知識がない場合でも、問われている内容を丁寧に検討することにより、ある程度、選択肢を絞れる問題が出題されることもあります。必要以上に時間を掛けることなく、消去法を使って正答を絞るようにしましょう。

学習するには

経営情報システム
4-4 「インターネットとセキュリティ

基礎から着実に学びたい方におすすめ!

中小企業診断士 1次2次合格コース

中小企業診断士 1次2次合格コース[2022+2023年度試験対応]

一括 53,900円~
分割例 月々 4,600円 × 12回~

基礎から合格レベルまで着実に学べるストレート合格を目指す方に最適なコースです。重要なポイントを凝縮した「学習マップ」で知識を体系的に整理しながら効率よく学習することができます。詳細はこちら

すべてのコースを見る

いますぐ無料でお試しできます

現在、冊子「中小企業診断士 加速合格法」無料でプレゼント中!
無料セミナー「短期合格の戦略」配信中!

スタディング 中小企業診断士講座 無料冊子 「中小企業診断士 加速合格法」

無料冊子

「中小企業診断士 加速合格法」
試験勉強で苦労する前に読んでおきたい、短期間で合格するための方法を解説した冊子(電子版)です。

無料セミナー

「短期合格の戦略」

スタディング 中小企業診断士講座 無料動画講座

無料動画講座

基本講座初回版「1-1経営と戦略の全体像」

動画/音声講座、テキスト、実戦フォローアップ講座、スマート問題集、過去問セレクト講座、2次合格メソッド講座、2次基礎講座(令和元年度事例1)付き!

無料講座と合格法冊子・無料セミナーを試してみる