資格合格パートナー「スタディング」
資格合格パートナー「スタディング」
情報システムにおいては、情報漏洩(ろうえい)に対する脆弱(ぜいじゃく)性に注意するなど情報セキュリティを高めることが必要である。情報セキュリティにおけるリスクに対処する方法として、「リスクの低減」、「リスクの保有」、「リスクの回避」、「リスクの移転」の4つがある。
このうち、「リスクの保有」に関する記述として、最も適切なものはどれか。
ア PC の社外への持ち出し禁止など最低限のことだけを行う。
イ 外部のネットワークからの不正な侵入のようなリスクが生じないように、強固なファイアウォールを構築する。
ウ 現状のリスクを分析した結果、大きなリスクと考えられない場合はセキュリティ対策をあえて行わない。
エ 災害による長時間の停止や情報漏洩に備えて、保険に加入しておく。
解答:ウ
まず、リスクコントロールの方法について、簡単に確認しておきましょう。
リスクコントロール:「リスク」とは「不確実性」の意味であり、リスクコントロールとは「脅威が発生する可能性を管理すること」となります。
リスクの低減:自らが保有する脆弱性に対して適切なセキュリティ対策を実施することにより、脅威が発生する可能性を下げることです。
リスクの保有:リスクがあまり大きくない場合に採用される方法で、特別な対処を行わず、自らの責任でリスクを受け入れることです。
リスクの回避:脅威が発生する状況を避けることで、リスクをゼロにすることです。
リスクの移転:脅威が発生した場合の責任を他者に移転する方法です。たとえば火災保険に加入することで、万が一火災が発生した場合の損失補償を保険会社の責任とすることができます。
それでは、選択肢を見ていきましょう。
選択肢アですが、PCの社外持ち出しの禁止について書かれています。PCの社外持ち出しを禁止にすれば、外出先でPCを紛失したりPCから情報が流出したりする可能性はゼロになります。よって、これはリスク回避の手法であり、選択肢の内容は不適切です。
選択肢イですが、強固なファイアウォールの構築について書かれています。強固なファイアウォールを構築することにより、不正侵入のような脅威が発生する可能性を下げることができます。よって、これはリスク低減の手法であり、選択肢の内容は不適切です。
選択肢ウですが、大きなリスクと考えられない場合はセキュリティ対策をあえて行わないことについて書かれています。これはリスク保有の手法であり、選択肢の内容は適切です。よって、これが正解となります。
選択肢エですが、災害による長時間の停止や情報漏洩に備えて保険に加入することが書かれています。これはリスク移転の手法であり、選択肢の内容は不適切です。
本問のように、その分野の知識がない場合でも、問われている内容を丁寧に検討することにより、ある程度、選択肢を絞れる問題が出題されることもあります。必要以上に時間を掛けることなく、消去法を使って正答を絞るようにしましょう。
|
中小企業診断士 1次2次合格コース
|
| すべてのコースを見る |
