まず結論

• 残留リスクとは「リスク対応を行った後でも残るリスク」
• SG試験では「対応してもゼロにならない」という前提を理解できているかが問われる

---

直感的な説明

例えば「鍵をかける」対策をしても、泥棒が絶対に入れないわけではありません。

• 鍵をかける → リスクは下がる
• でも「ゼロにはならない」

この「対策してもまだ残っているリスク」が残留リスクです。

👉 対策＝リスク消滅ではない、というのがポイント

---

定義・仕組み

残留リスクは、リスクマネジメントの流れの中で次のように位置づけられます。

1. リスクを特定する
2. リスクを評価する
3. リスク対応（回避・低減・移転・受容）を行う
4. それでも残るリスクが「残留リスク」

つまり、

• 対策後の状態で
• 「まだ許容するか？」を判断する対象

になります。

ISMSでも、最終的に「残留リスクを受容できるか」が重要な判断になります。

---

どんな場面で使う？

よく使う場面

• セキュリティ対策を実施した後の最終判断
• 管理者が「これ以上対策するか？」を決める場面
• コストとリスクのバランスを取る場面

👉 実務では
「コストをかけすぎず、どこまで許容するか」が重要

---

誤解しやすい場面

• 「対策したから安全」と考える
• 「リスクはゼロにできる」と思う

👉 SG試験ではこの考えは明確に誤り

---

よくある誤解・混同

❌ よくある誤解

• 残留リスク＝対策が不十分な状態
• 残留リスク＝対応前のリスク

⭕ 正しい理解

• 残留リスク＝対応後でも残るリスク（正常な状態）

---

混同しやすい用語

• 固有リスク（Inherent Risk）
  • 対策前のリスク
  • まだ何もしていない状態
• 残留リスク（Residual Risk）
  • 対策後のリスク
  • それでも残るもの

👉 SG試験では
「対策前か、対策後か」で切り分ける

---

典型的なひっかけ

• 「対策したらリスクはなくなる」→ ❌
• 「残留リスクはゼロにするべき」→ ❌
• 「残留リスクは受容するか判断する対象」→ ⭕

👉 選択肢では
「残る」「許容」「判断」などのキーワードが出たら正解に近い

---

まとめ（試験直前用）

• 残留リスク＝対策後にも残るリスク
• リスクはゼロにならないのが前提
• 最終的に「受容するか」を判断する対象
• 固有リスク（対策前）との違いが頻出
• SG試験では「ゼロになる」と書いてあれば誤りと判断する

🔗 関連記事

• 情報資産台帳とは？リスク管理の出発点を整理【情報セキュリティマネジメント】
• 監査ログとは？不正検知と追跡の基本【SG試験】
• SG試験 ケース問題の解き方テンプレ【情報セキュリティマネジメント】
• ケース問題の解き方！CIAとリスク対応で考える実践手順【SG試験】
• よくある誤答パターンまとめ！SG試験で選択肢を切るコツ【情報セキュリティマネジメント】

---

🏠 情報セキュリティマネジメントトップに戻る

← ランサムウェアとは？身代金要求型攻撃の仕組み【情報セキュリティマネジメント】 リバースブルートフォース攻撃とは？逆総当たりの仕組みと対策【情報セキュリティマネジメント】 →