sg sg-security-management risk_assessment asset_management
まず結論
- リスク対応とは、リスク分析・リスク評価で明らかになったリスクに対して、どのように対処するかを決めて実行することです。
- SG試験では、リスクを減らす対策なのか、損失に備える対策なのか、あえて受け入れる判断なのかを切り分ける問題として問われることが多いです。
直感的な説明
リスク対応は、見つかった危険に対して「どう動くか」を決める段階です。
例えば、会社の重要なシステムに被害が出る可能性があると分かった場合、次のような対応が考えられます。
- 危険なシステムを使わないようにする
- セキュリティ対策に投資して被害を起きにくくする
- 保険や予算を用意して、被害が起きたときに備える
- 影響が小さいので、あえて追加対策をしない
つまり、リスク対応は「全部をなくす」ことではありません。
リスクの大きさ、発生可能性、情報資産の重要度、費用などを見ながら、現実的にどの対応を選ぶかを決める考え方です。
定義・仕組み
リスク対応は、リスクアセスメントの結果をもとに、リスクへの対処方法を選ぶ活動です。
情報セキュリティでは、リスクを分析・評価したあとに、許容できないリスクへ対策を講じます。IPAの情報セキュリティマネジメント試験でも、リスクマネジメントや情報セキュリティ対策の考え方が出題範囲として示されています。詳しくは、IPAの情報セキュリティマネジメント試験 出題範囲も参考になります。
リスク対応は、代表的に次のように整理できます。
| 対応の種類 | 意味 | 例 |
|---|---|---|
| リスク回避 | リスクの原因となる活動をやめる | 危険なシステムを廃止する |
| リスク低減 | 発生可能性や影響を小さくする | アクセス制御、バックアップ、教育を行う |
| リスク移転 | 損失の負担を他者に移す | 保険に加入する、外部委託する |
| リスク保有・受容 | リスクを認識したうえで受け入れる | 影響が小さいため追加対策をしない |
ここで特に混同しやすいのが、リスクコントロールとリスクファイナンスです。
- リスクコントロール:リスクそのものを回避・低減する対策
- リスクファイナンス:リスクが現実化したときの損失に備える対策
例えば、「脆弱性を修正する」「アクセス権を見直す」はリスクコントロールです。 一方で、「保険を掛ける」「損害対応のための資金を確保する」はリスクファイナンスです。
どんな場面で使う?
リスク対応は、情報資産に対するリスクを評価したあとに使います。
例えば、次のような場面です。
- 顧客情報を扱うシステムのリスクを評価したあと
- 業務委託先に情報を預ける前
- 新しいクラウドサービスを導入する前
- 既存システムの脆弱性が見つかったあと
- 事故が起きた場合の損失に備えたいとき
SG試験では、問題文に「リスク評価の結果」「顕在化した場合の損失」「発生可能性」「対策費用」などが出てきたら、リスク対応の判断を問われている可能性があります。
選択肢では、次の表現に注意します。
| 選択肢の表現 | 判断の方向 |
|---|---|
| リスクの発生を防ぐ、影響を小さくする | リスク低減 |
| リスク源となる業務やシステムをやめる | リスク回避 |
| 保険、補償、資金確保 | リスクファイナンス |
| 影響が小さいため追加対策しない | リスク受容 |
大切なのは、「お金を使っているから低減」と考えないことです。
お金を使っていても、被害そのものを小さくする設備投資ならリスク低減です。 一方で、被害が起きた後の損失補てんに備えるならリスクファイナンスです。
よくある誤解・混同
誤解1:保険を掛けることはリスク低減である
保険は、リスクの発生可能性を下げるわけではありません。
システム障害や情報漏えいが起きる可能性そのものを減らすのではなく、起きた後の損失に備えるものです。
そのため、SG試験では保険、補償、資金確保と書かれていたら、リスクファイナンスを疑います。
誤解2:追加対策をしないのは管理していないという意味である
リスク受容は、リスクを無視することではありません。
リスクの大きさや発生可能性、対策費用を確認したうえで、許容できると判断して受け入れることです。
つまり、評価したうえで受け入れるのがリスク受容です。 何も考えずに放置することとは違います。
誤解3:外部委託すればリスクはなくなる
外部委託は、リスクの一部を移転する考え方に近い場合があります。
ただし、委託したからといって、委託元の責任がすべて消えるわけではありません。
SG試験では、委託先管理、契約、SLA、監査、教育などと合わせて、委託元が管理責任を持つかどうかを問われることがあります。
誤解4:リスク対応は必ず技術的対策である
リスク対応には、技術的対策だけでなく、人的対策、組織的対策、契約、保険、予算確保なども含まれます。
選択肢では「対策=システム設定」と決めつけず、何に対して、どのリスクを、どう扱っているかを見ることが大切です。
まとめ(試験直前用)
- リスク対応は、評価したリスクに対してどう対処するかを決める活動です。
- 「発生や影響を小さくする」なら、リスクコントロールの中のリスク低減です。
- 「保険・補償・資金確保」なら、リスクファイナンスです。
- 「評価したうえで追加対策しない」なら、リスク受容です。
- SG試験では、リスクそのものを減らす話か、損失に備える話かで選択肢を切り分けます。
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 監査調書とは?監査結果の裏付けになる記録を整理【SG試験】