ITパスポート 令和3年度 問99：セキュリティマネジメントに関する問題

答えは a です。

リスクへの向き合い方には4つのタイプがあります。

・移転＝人に肩代わりしてもらう（保険に入る、外注する）

・回避＝そもそもやめる（危ないサービスを廃止）

・低減＝被害を減らす（ウイルス対策ソフトを入れる）

・保有＝そのまま受け入れる（小さいリスクは我慢）

aは「保険を掛ける＝肩代わり＝移転」と正しく言っているので○。

👉 覚え方：保険＝移転（だれかに移す）。

ほかの選択肢：b〜dは「リスク特定」「リスク評価」「リスク分析」という別の段階の話に、対応の分類を間違って混ぜているので×。

なぜこれが正解か

正解は a。リスク移転・回避・低減・保有は、リスクアセスメント後の「リスク対応」の選択肢を分類したもの。保険を掛けることは、損失負担を保険会社に移すリスク移転に該当する（正しい）。

各選択肢の解説

• b：誤り。「リスク特定」の話に混ぜているが、4分類はリスク対応の分類。マルウェア対策ソフトは確かにリスク低減だが、前提（リスク特定における資産分類）が誤り。
• c：誤り。「リスク評価において」が誤り。回避（その活動自体をやめる）はリスク対応の手段。
• d：誤り。「リスク分析の手法」「数値化＝リスク保有」が誤り。脆弱性の数値化は分析手法であり、保有とは無関係。

覚え方・ひっかけ注意

4分類は全て「リスク対応」段階のもの。bは特定、cは評価、dは分析と、所属する工程をすり替えた引っかけ。保険＝移転／廃止＝回避／対策ソフト＝低減／受容＝保有を即答できるように。

理論的背景

リスク対応の4類型はISO 31000（JIS Q 31000）およびISO/IEC 27001（JIS Q 27001）に基づく国際標準の枠組みである。リスクアセスメント（特定・分析・評価）の完了後、算定したリスクレベルと受容基準を比較した上で、各リスクへの対応戦略を経営判断として選択する。

移転（Transfer）：リスクの財務的影響を第三者に転嫁する手段。損害保険・サイバー保険・業務委託が代表例。保険会社に損失補填義務を移転する保険加入が本問の正解の根拠。ただしリスクの財務的影響は移転できても、情報漏えい発生時の社会的責任・ブランド毀損は移転できない（「責任は委託先に帰属」という免責は法的にも認められにくい）。

回避（Avoidance）：リスクを発生させる活動・事業・機能そのものを中止または変更する。USBメモリの持ち込みを全面禁止してUSBを介したデータ漏えいリスクをゼロにする、特定の高リスク市場から撤退する、などが該当。最も確実な対応だが、事業機会の損失も伴う。

低減（Reduction/Mitigation）：リスクの「発生可能性」か「影響度」またはその両方を技術・運用手段で小さくする。ウイルス対策ソフト・多要素認証・定期バックアップ・アクセス制御・教育訓練がこれに当たる。残留リスクが残る点が回避との違い。

保有（Retention/Acceptance）：費用対効果から対策コストがリスク損失を上回る場合や、リスクレベルが受容基準以内の場合にリスクをそのまま受け入れる。経営層の意識的な承認が必要であり、「気づかずに何もしていない」のとは本質的に異なる。残留リスク（他の対応策を実施した後に残るリスク）の保有も含む。

実務での使われ方

企業のリスクマネジメントでは4類型を費用対効果マトリクスで判断する。「発生可能性×影響度」が高い領域のリスクには回避または移転を優先し、低い領域では保有を選ぶのが合理的。マルウェア対策（低減）・サイバー保険（移転）・不要なクラウドサービスの廃止（回避）・軽微なWebサイト改ざんリスクの受容（保有）といった組み合わせが典型的なBCP/リスク対応計画の実例。

近年はサイバー保険（サイバーリスク保険）市場が急拡大しており、インシデント対応費用・損害賠償・事業中断損失をカバーする商品が普及している。移転手段としてのサイバー保険は「保険加入＝リスク移転」の典型例としてITパスポートでも出題される。ただし保険会社が引受審査でセキュリティ対策水準を確認するため、低減と移転の両立が求められる。

試験での位置づけ

ITパスポートのセキュリティマネジメント分野で、リスクアセスメントとリスク対応の違いを混同させる問題が頻出。本問のように「対応の4分類をリスク特定・評価・分析という別工程の説明にすり替えた選択肢」を誤りとして見抜く力が問われる。

上位資格の情報セキュリティマネジメント試験（SG）では、具体的なビジネスシナリオを読んで4分類のどれに当たるかを判定する応用問題が出る。「アウトソーシング（移転）」「セキュリティソフト導入（低減）」「事業撤退（回避）」「少額損失の受容（保有）」の対応を場面別に判断する練習が効果的。

選択肢の発展補足

選択肢b（リスク特定でマルウェア対策ソフトをリスク低減に分類）：二重の誤りが含まれる。まず「リスク低減」はリスク特定（情報資産・脅威・脆弱性を洗い出す工程）での分類ではなく、リスク対応の分類である。次にマルウェア対策ソフトの分類そのものは正しく（低減に該当する）、この事実を誤った文脈に埋め込んで混乱させる構成になっている。

選択肢c（リスク評価でリスク回避を評価方法として分類）：リスク評価とは算定したリスクレベルと受容基準を比較して優先順位を付ける工程であり、「回避できるか否かで評価する方法」という概念自体が存在しない。リスク評価の評価軸は発生可能性×影響度であり、対応手段の選択はその後の工程に属する。

選択肢d（リスク分析で脆弱性を数値化する手法をリスク保有に分類）：リスク分析は定量的（ALE計算）・定性的（マトリクス）の手法があり、脆弱性の定量化は分析の一手段。しかし「数値化するからリスク保有」という論理は成立しない。リスク保有はアセスメント完了後の対応戦略の選択であり、分析手法の分類とは全く別の概念。こうした「工程のすり替え」が本問を通じて理解すべき中核的ひっかけパターン。