リスク対応はリスクに対してどのように対処するかを決める工程です。回避・低減・移転・受容の違いと判断基準、SG試験でのひっかけポイントを整理します。

sg sg-security-management risk_assessment isms

まず結論

  • リスク対応とは、評価したリスクに対して「どう対処するか」を決めて実行することです
  • SG試験では「回避・低減・移転・受容の違い」を判断できるかが問われます

直感的な説明

リスク対応は「危険にどう向き合うかの選択」です。

たとえば
「情報漏えいのリスク」があった場合

  • システムをやめる → 回避
  • セキュリティを強化 → 低減
  • 保険に入る → 移転
  • そのまま運用 → 受容

👉
同じリスクでも対応の仕方は複数あるのがポイントです。

定義・仕組み

リスク対応は、リスクアセスメントの後に行います。

主に4つの方法に分類されます。

① 回避(Avoid)

リスクの原因そのものをなくす

  • 危険な業務をやめる
  • システムを導入しない

👉
リスク自体をゼロにする方向

② 低減(Mitigate)

リスクの発生確率や影響を小さくする

  • アクセス制御の強化
  • バックアップの実施
  • 教育・訓練

👉
一番よく使われる対応

③ 移転(Transfer)

リスクを他者に移す

  • 保険に加入
  • 業務委託(クラウド利用など)

👉
注意
責任は完全には消えない

④ 受容(Accept)

対策を取らず、そのまま受け入れる

  • 影響が小さい
  • コストに見合わない

👉
何もしないが「判断している」のが重要

どんな場面で使う?

使う場面

  • リスクアセスメント後の対策決定
  • ISMSのリスク対応計画
  • セキュリティ投資の判断
  • 委託先の活用判断

誤解しやすい場面

  • すべて低減しようとする → ❌コスト過多
  • 受容=何も考えていない → ❌判断の結果
  • 移転=責任が消える → ❌誤り

よくある誤解・混同

回避と低減の違い

  • ❌ 回避=対策すること
  • ⭕ 回避=やらない

👉 判断基準
その業務をやめているか?

低減と移転の違い

  • ❌ 外部委託=低減
  • ⭕ 外部に任せる=移転

👉
ただし
管理責任は残る点に注意

受容の誤解

  • ❌ 放置
  • ⭕ 評価したうえで許容

SG試験のひっかけ(最重要)

  • 「対策を講じてリスクを減らす」→ 低減
  • 「業務を中止する」→ 回避
  • 「保険でカバー」→ 移転
  • 「そのまま運用」→ 受容

👉
“何をしたか”で分類するのがコツ

まとめ(試験直前用)

  • リスク対応=対処方法の選択と実行
  • 回避=やらない
  • 低減=対策する
  • 移転=他者に任せる(責任は残る)
  • 受容=許容(判断している)
  • 迷ったら「行動内容」で切る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る