sg risk_assessment security_management it_security_operations sg-security-management
まず結論
リスク対応は「CIAで特定したリスクに対してどう対処するかの意思決定」です。
SG試験では「この状況でどの対応を選ぶべきか」が問われます。
直感的な説明
これまでの流れを1本にするとこうなります👇
- 攻撃を受ける
- 何が壊れるか(CIA)を判断
- 対策を考える
- 最後に「どう対応するか」を決める
👉 リスク対応=最終判断
定義・仕組み
リスク対応は4つに分類されます。
① 回避(Risk Avoidance)
- 危険なことをやらない
例:
- 危険なサービスを停止する
👉 リスクをゼロにするが、機能も失う
② 低減(Risk Mitigation)
- リスクを減らす
例:
- DDoS対策導入
- アクセス制御強化
👉 最も一般的な対応
③ 移転(Risk Transfer)
- リスクを他者に移す
例:
- 保険加入
- クラウド利用
👉 自社で抱えない
④ 受容(Risk Acceptance)
- リスクを受け入れる
例:
- 影響が小さいので対策しない
👉 コストとのバランスで判断
どんな場面で使う?
SG試験での典型パターン
問題はこう聞いてきます👇
- 「最も適切な対応はどれか?」
- 「現実的な対応はどれか?」
👉 完璧ではなく“現実的な判断”を選ぶ
判断の流れ(超重要)
- どのCIAが影響を受けるか
- 適切な対策は何か
- その対策を実施するか判断
👉 最後がリスク対応
よくある誤解・混同
❌ とにかく対策すればよい
→ ⭕ コストと効果で判断する
❌ すべて回避が正しい
→ ⭕ 現実的ではない(業務が止まる)
❌ 受容は何もしない=悪い
→ ⭕ 合理的な判断の一つ
SG試験のひっかけ
- 「サービス停止」 → 回避
- 「対策導入」 → 低減
- 「保険・外部委託」 → 移転
- 「影響軽微」 → 受容
👉 キーワードで判断
まとめ(試験直前用)
- リスク対応=最終意思決定
- 回避=やめる
- 低減=減らす
- 移転=任せる
- 受容=そのまま
- SG試験では「現実的か」で切る
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】