リスクマネジメント
リスクマネジメントとは
Section titled “リスクマネジメントとは”情報システムを運用していると、サイバー攻撃による情報漏えい、自然災害によるサーバー停止、従業員の操作ミスなど、さまざまな「好ましくない出来事」が起こる可能性があります。こうした好ましくない出来事が発生する可能性とその影響の大きさをあわせたものをリスクと呼びます。
リスクマネジメントとは、組織を取り巻くリスクを体系的に把握し、適切に対処するための一連の活動のことです。リスクマネジメントは一度行えば終わりではなく、環境の変化にあわせて継続的に見直していくプロセスです。
リスクマネジメントは、大きく分けて「リスクアセスメント」と「リスク対応」の2つのプロセスで構成されます。まずリスクアセスメントでリスクの全体像を把握し、その結果をもとにリスク対応の方針を決定する、という流れです。
graph LR
subgraph RM["リスクマネジメント"]
direction LR
subgraph RA["リスクアセスメント"]
direction LR
A["リスク特定"]:::primary --> B["リスク分析"]:::primary --> C["リスク評価"]:::primary
end
subgraph RT["リスク対応"]
direction TB
D["リスク回避"]:::alert
E["リスク低減"]:::base
F["リスク共有<br>(移転・分散)"]:::base
G["リスク保有"]:::base
end
C -->|"評価結果をもとに<br>対応を選択"| D
C --> E
C --> F
C --> G
end
classDef base fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#333;
classDef primary fill:#eff6ff,stroke:#2563eb,stroke-width:2px,color:#1e40af;
classDef alert fill:#fef2f2,stroke:#dc2626,stroke-width:2px,color:#991b1b;
リスクアセスメント
Section titled “リスクアセスメント”リスクアセスメントとは、組織にとってどのようなリスクがあるかを洗い出し、その大きさや優先度を判断するプロセスです。リスクアセスメントは、以下の3つのステップで進めます。
リスク特定は、組織にどのようなリスクが存在するかを網羅的に洗い出すステップです。「何が起こり得るか」「その原因は何か」を幅広くリストアップします。
たとえば、以下のようなリスクを洗い出します。
- 外部からのサイバー攻撃による顧客情報の漏えい
- 地震や火災によるサーバールームの損壊
- 従業員の不注意によるノートPCの紛失
- ソフトウェアの脆弱性を突かれた不正アクセス
この段階では「起こるかどうか」は気にせず、考えられるリスクをできるだけ多く挙げることが大切です。
リスク分析は、特定したリスクそれぞれについて、「発生する確率(頻度)」と「発生した場合の影響の大きさ」を見積もるステップです。
たとえば、「ノートPCの紛失」というリスクであれば、「外出の多い営業部門では発生確率が高い」「PCに顧客データが保存されていれば影響が大きい」といった分析を行います。
リスク評価は、リスク分析の結果をもとに、各リスクの優先度を決めるステップです。発生確率と影響の大きさを掛け合わせてリスクの大きさを算出し、「どのリスクから優先的に対策すべきか」を判断します。
リスクの大きさが高いものから順に対策の優先度を設定し、次のリスク対応のプロセスに進みます。
試験で出るポイント
「リスクアセスメントに含まれるものはどれか」という問題が出題されています(2019年 問56)。リスクアセスメント=リスク特定・リスク分析・リスク評価の3つであることを正確に覚えておきましょう。リスク対応はリスクアセスメントには含まれない別のプロセスです。
リスク対応とは、リスクアセスメントの結果をもとに、各リスクに対してどのような対策をとるかを決定し、実行するプロセスです。リスク対応には大きく4つの方法があります。
| 対応方法 | 考え方 | 具体例 |
|---|---|---|
| リスク回避 | リスクの原因そのものをなくす | 個人情報を扱うサービスそのものを廃止する、危険な地域への出張を取りやめる |
| リスク低減 | リスクの発生確率や影響を小さくする | HDDを暗号化する、ウイルス対策ソフトを導入する、退社時にクリアデスクを実施する |
| リスク共有 | リスクを他者と分け合う | 保険に加入する(リスク移転)、データセンターを複数拠点に分散する(リスク分散) |
| リスク保有 | リスクをそのまま受け入れる | 発生確率が極めて低く影響も小さいリスクについて、あえて対策をとらずに受容する |
リスク回避とは、リスクの原因となる活動や状況そのものをやめることで、リスクをゼロにする方法です。たとえば、セキュリティ上の懸念がある外部クラウドサービスの利用を中止する、といった対応がこれにあたります。
リスクを確実になくせる反面、その活動から得られるメリットも失ってしまうため、ビジネス上の判断が必要です。
リスク低減とは、リスクが発生する確率を下げたり、発生した場合の被害を小さくしたりする対策をとることです。4つの対応方法の中でもっとも一般的に行われる方法です。
具体例を見てみましょう。
- HDDの暗号化:ノートPCを紛失しても、データの漏えいを防げる
- ウイルス対策ソフトの導入:マルウェア感染の確率を下げる
- 退社時のクリアデスク:机の上に書類を残さないことで、情報の盗み見や紛失を防ぐ
- 定期的なバックアップ:データ消失時の被害を最小限にする
試験で出るポイント
「リスク低減の例はどれか」を選ぶ問題が頻出です。HDDの暗号化(2019年 問86)やクリアデスク(2020年 問68)など、具体的な対策がリスク低減にあたることを押さえておきましょう。
リスク共有(リスク移転・リスク分散)
Section titled “リスク共有(リスク移転・リスク分散)”リスク共有とは、リスクによる損害を自分だけで負わず、他者と分け合う方法です。リスク共有にはリスク移転とリスク分散の2つが含まれます。
リスク移転は、リスクが現実になった場合の損害を第三者に肩代わりしてもらう方法です。もっとも代表的な例は保険への加入です。たとえば、サイバー攻撃による損害に備えて「サイバー保険」に加入すれば、万一の場合の金銭的な負担を保険会社に移転できます。また、システム開発を外部に委託し、その契約の中で障害時の責任を委託先に負ってもらうことも、リスク移転の一種です。
リスク分散は、リスクを一箇所に集中させず分散させることで、被害を最小限にとどめる方法です。たとえば、データセンターを東京と大阪の2拠点に分散させておけば、一方が災害で停止してももう一方で業務を継続できます。
リスク保有(リスク受容)
Section titled “リスク保有(リスク受容)”リスク保有(リスク受容)とは、リスクの存在を認識したうえで、あえて特別な対策をとらずに受け入れる方法です。
すべてのリスクに対策を講じるには、膨大なコストと手間がかかります。そのため、発生確率が極めて低い、あるいは発生しても影響がごく小さいリスクについては、「対策にかかるコスト」と「リスクが現実になった場合の損害額」を比較し、対策しない方が合理的と判断する場合があります。これがリスク保有です。
ただし、リスク保有は「リスクを無視する」こととは違います。リスクの存在を把握したうえで、意識的に「受け入れる」と判断することが重要です。
リスク対応を選ぶ考え方
Section titled “リスク対応を選ぶ考え方”実際のリスク対応では、1つのリスクに対して複数の対応方法を組み合わせることもあります。たとえば、ノートPCの紛失リスクに対して、「HDDを暗号化する(リスク低減)」と「情報漏えい保険に加入する(リスク共有)」を併用する、といった具合です。
どの対応方法を選ぶかは、リスクの大きさ、対策にかかるコスト、組織の方針などを総合的に判断して決定します。
試験で出るポイント
リスク対応の4分類(回避・低減・共有・保有)は最頻出です。具体的なシナリオが示され、「これはどのリスク対応にあたるか」を問う問題が毎年のように出題されます。それぞれの違いを「具体例」とセットで理解しておくことが重要です。
過去問で実力チェック
Section titled “過去問で実力チェック”過去問に挑戦
Q. 次の作業 a~d のうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a リスク特定
b リスク分析
c リスク評価
d リスク対応
- ア a, b
- イ a, b, c
- ウ b, c, d
- エ c, d
解答(令和元年)
正解: イ
Q. 情報セキュリティのリスクマネジメントにおけるリスク対応を,リスクの移転,回避,受容及び低減の四つに分類するとき,リスクの低減の例として,適切なものはどれか。
- ア インターネット上で,特定利用者に対して,機密に属する情報の提供サービスを行っていたが,情報漏えいのリスクを考慮して,そのサービスから撤退する。
- イ 個人情報が漏えいした場合に備えて,保険に加入する
- ウ サーバ室には限られた管理者しか入室できず,機器盗難のリスクは低いので,追加の対策は行わない。
- エ ノートPCの紛失,盗難による情報漏えいに備えて,ノートPCのHDDに保存する情報を暗号化する。
解答(令和元年)
正解: エ
Q. リスク対応を,移転,回避,低減及び保有に分類するとき,次の対応はどれに分類されるか。
[対応]
職場における机上の書類からの情報漏えい対策として,退社時のクリアデスクを導入した。
- ア 移転
- イ 回避
- ウ 低減
- エ 保有
解答(令和2年)
正解: ウ
Q. PDCAモデルに基づいてISMSを運用している組織の活動において,リスクマネジメントの活動状況の監視の結果などを受けて,是正や改善措置を決定している。この作業は,PDCAモデルのどのプロセスで実施されるか。
- ア P
- イ D
- ウ C
- エ A
解答(令和3年)
正解: エ
Q. ISMSのリスクアセスメントにおいて,最初に行うものはどれか。
- ア リスク対応
- イ リスク特定
- ウ リスク評価
- エ リスク分析
解答(令和3年)
正解: イ
Q. 次の作業 a~d のうち,リスクマネジメントにおける,リスクアセスメントに含まれるものだけを全て挙げたものはどれか。
a 脅威や脆ぜい弱性などを使って,リスクレベルを決定する。
b リスクとなる要因を特定する。
c リスクに対してどのように対応するかを決定する。
d リスクについて対応する優先順位を決定する。
- ア a,b
- イ a,b,d
- ウ a,c,d
- エ c,d
解答(令和3年)
正解: イ
Q. 情報セキュリティのリスクマネジメントにおいて,リスク移転,リスク回避,リスク低減,リスク保有などが分類に用いられることがある。これらに関する記述として,適切なものはどれか。
- ア リスク対応において,リスクへの対応策を分類したものであり,リスクの顕在化に備えて保険を掛けることは,リスク移転に分類される。
- イ リスク特定において,保有資産の使用目的を分類したものであり,マルウェア対策ソフトのような情報セキュリティ対策で使用される資産は,リスク低減に分類される。
- ウ リスク評価において,リスクの評価方法を分類したものであり,管理対象の資産がもつリスクについて,それを回避することが可能かどうかで評価することは,リスク回避に分類される。
- エ リスク分析において,リスクの分析手法を分類したものであり,管理対象の資産がもつ脆ぜい弱性を客観的な数値で表す手法は,リスク保有に分類される。
解答(令和3年)
正解: ア
Q. 情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク回避,リスク共有,リスク低滅及びリスク保有の四つに分類するとき,情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。
- ア リスク回避
- イ リスク共有
- ウ リスク低減
- エ リスク保有
解答(令和4年)
正解: イ
Q. 情報セキュリティにおけるリスクアセスメントを,リスク特定,リスク分析,リスク評価の三つのプロセスに分けたとき,リスク分析に関する記述として,最も適切なものはどれか。
- ア 受容基準と比較できるように,各リスクのレベルを決定する必要がある。
- イ 全ての情報資産を分析の対象にする必要がある。
- ウ 特定した全てのリスクについて,同じ分析技法を用いる必要がある。
- エ リスクが受容可能かどうかを決定する必要がある。
解答(令和4年)
正解: ア
Q. 情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類したとき,リスク共有の説明として,適切なものはどれか。
- ア 個人情報を取り扱わないなど,リスクを伴う活動自体を停止したり,リスク要因を根本的に排除したりすること
- イ 災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど,リスクの発生確率や損害を減らす対策を講じること
- ウ 保険への加入など,リスクを一定の合意の下に別の組織へ移転又は分散することによって,リスクが顕在化したときの損害を低減すること
- エ リスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に,リスクを認識した上で特に対策を講じず,そのリスクを受け入れること
解答(令和5年)
正解: ウ
Q. 情報セキュリティのリスクマネジメントにおけるリスクへの対応を,リスク共有,リスク回避,リスク保有及びリスク低減の四つに分類するとき,リスク共有の例として適切なものはどれか。
- ア 災害によるシステムの停止時間を短くするために,遠隔地にバックアップセンターを設置する。
- イ 情報漏えいによって発生する損害賠償や事故処理の損失補填のために,サイバー保険に加入する。
- ウ 電子メールによる機密ファイルの流出を防ぐために,ファイルを添付した電子メールの送信には上司の許可を必要とする仕組みにする。
- エ ノートPCの紛失や盗難による情報漏えいを防ぐために,HDDを暗号化する。
解答(令和6年)
正解: イ
Q. 情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク移転,リスク回避,リスク低減及びリスク保有の四つに分けて実施することにしたとき,これらに関する記述として,適切なものはどれか。
- ア リスク対応の実施手順であり,リスク回避,リスク移転,リスク低減,リスク保有の順番で進める。
- イ リスク対応の実施手順であり,リスク保有,リスク低減,リスク移転,リスク回避の順番で進める。
- ウ リスク対応の選択肢であり,管理対象としたリスクの顕在化に備えて保険を掛けておくことは,リスク回避に該当する。
- エ リスク対応の選択肢であり,ノートPCの紛失や盗難に備えて社外への持出しをより厳重に管理することは,リスク低減に該当する。
解答(令和7年)
正解: エ