sg sg-security-management risk_assessment isms
まず結論
- リスク対応は「行動内容」で分類する
- SG試験では「何をしたか」を見れば、回避・低減・移転・受容を判断できます
直感的な説明
ポイントはシンプルです👇
- やめた → 回避
- 対策した → 低減
- 任せた → 移転
- そのまま → 受容
👉
文章を読んで“行動”だけ抜き出すのがコツです
定義・仕組み(判断ルール)
問題を解くときはこの順番で考えます
① 何をしたかを抜き出す
② 4つに当てはめる
| 行動 | 分類 |
|---|---|
| 業務をやめる | 回避 |
| セキュリティ強化 | 低減 |
| 保険・委託 | 移転 |
| 何もしない(判断済) | 受容 |
どんな場面で使う?(試験での出方)
- 選択肢から正しい対応を選ばせる問題
- 「この対策はどの分類か?」を問う問題
- 間違った対応を選ばせる問題
👉
文章の意味を理解できるかが勝負
よくある誤解・混同(演習で克服)
- 委託=低減と勘違い
- 受容=放置と勘違い
- 対策しているのに回避と誤認
👉
ここを演習で潰します👇
演習問題(SG試験レベル)
問題①
機密情報を扱うシステムについて、リスクが高いため運用自体を中止した。
→ この対応はどれか?
答えを見る
**回避** 👉 システム自体をやめている=リスクの原因を消している問題②
不正アクセスのリスクを減らすために、多要素認証を導入した。
→ この対応はどれか?
答えを見る
**低減** 👉 セキュリティ強化=リスクを小さくしている問題③
情報漏えいリスクに備えて、サイバー保険に加入した。
→ この対応はどれか?
答えを見る
**移転** 👉 損失の負担を他者(保険会社)に移している問題④
影響が小さいため、特に対策を行わず現状のまま運用することにした。
→ この対応はどれか?
答えを見る
**受容** 👉 判断した上で許容している問題⑤(ひっかけ)
クラウドサービスに移行して、セキュリティ対策をベンダーに任せた。
→ この対応はどれか?
答えを見る
**移転** 👉 「任せた」がポイント ※ただし責任は残る(ここが試験で狙われる)問題⑥(ひっかけ)
システムの脆弱性対策として、パッチを適用した。
→ この対応はどれか?
答えを見る
**低減** 👉 対策している=リスクを小さくしているまとめ(試験直前用)
- 行動で判断する(やめる・対策・任せる・そのまま)
- 回避=やめる
- 低減=対策する
- 移転=他者に任せる
- 受容=許容する
- 迷ったら「何をしたか」で切る
🔗 関連記事
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- SG試験 ケース問題の解き方テンプレ【情報セキュリティマネジメント】
- ケース問題の解き方!CIAとリスク対応で考える実践手順【SG試験】
- チャレンジレスポンス認証はなぜ使われない?現代の認証方式との違い【情報セキュリティマネジメント】