リスク対応は4つの対処方法を整理するための用語です。この記事では仕組み・役割・使いどころを押さえ、SG試験と情報セキュリティマネジメント試験で狙われるひっかけポイントを解説します。

sg security_management risk_assessment it_security_operations sg-security-management

まず結論

リスク対応とは、リスク評価の結果をもとに「そのリスクをどう扱うか(減らす・避ける・共有する・受け入れる)」を決めて実行することです。
SG試験では「その対策がどの種類のリスク対応か」を判断させる問題がよく出ます。

直感的な説明

リスク対応は「事故にどう備えるかの選択」です。

たとえば地震リスクなら:

  • 家を建てない → 回避
  • 耐震補強する → 低減
  • 保険に入る → 共有
  • 何もしない → 受容

同じリスクでも「どう向き合うか」は複数の選択肢があります。
SG試験は、この選択の違いを見抜けるかがポイントです。

定義・仕組み

■ リスク対応とは

JIS Q 31000:2010(リスクマネジメントの指針)では、
リスク対応は「リスクを修正するためのプロセス」と定義されています。

■ 主な4つの対応方法(試験重要)

実務・試験では次の4つで整理すると理解しやすいです。

  • リスク回避
    → リスクを生む活動をやめる(例:危険なシステムを使わない)

  • リスク低減(軽減)
    → 発生確率や影響を下げる(例:ウイルス対策ソフト導入)

  • リスク共有(移転)
    → 他者と分担する(例:保険加入、外部委託)
    ※金銭的リスクを移すものは「リスクファイナンシング」

  • リスク受容(保有)
    → あえて対策せず受け入れる(例:軽微なリスクは放置)

どんな場面で使う?

■ よくある業務判断

  • システム障害リスク → 冗長化(低減)
  • 情報漏えいリスク → 委託契約で責任分担(共有)
  • 高コストすぎる対策 → 受容

■ SG試験での出題パターン

  • 「この対策はどのリスク対応か?」
  • 「適切なリスク対応を選べ」

選択肢では「行動内容」から分類させる問題が多いです。

よくある誤解・混同

❌ 保険はリスクをなくす → 間違い

→ ⭕ 保険は「リスク共有(移転)」
(損失の負担を他者に移すだけ)

❌ セキュリティ対策=すべて低減

→ ⭕ 対策の種類で変わる

  • 利用停止 → 回避
  • 保険 → 共有
  • 何もしない → 受容

❌ リスク対応は1つだけ選ぶ

→ ⭕ 複数を組み合わせることもある

■ SG試験のひっかけポイント

  • 「保険」「契約」→ 共有
  • 「やめる」「中止」→ 回避
  • 「対策導入」→ 低減

この対応関係を覚えておくと、選択肢をかなり切れます。

まとめ(試験直前用)

  • リスク対応=「どう扱うか」の意思決定
  • 4分類:回避・低減・共有・受容
  • 保険・委託 → 共有(超頻出)
  • SG試験は「行動から分類」を問う問題が多い
  • キーワードで即判定できるようにするのがコツ

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る