ITリスク管理
経営とIT
ITリスクにどう対処する?用語の定義と4つの対処法をマスターしよう!
ITリスク管理
簡単にいうと
ITリスクにどう対処する?用語の定義と4つの対処法をマスターしよう!
① リスクに関する用語の定義(JIS Q 27000)
JIS Q 27000:2019(情報セキュリティマネジメントシステム用語)では、リスクに関する基本用語が定義されています。試験では用語の正確な意味の違いが問われるため、しっかり区別しましょう。
| 用語 | 定義 |
|---|---|
| リスク | 目的に対する不確かさの影響。プラス(好機)もマイナス(脅威)もある |
| リスクレベル | 結果の起こりやすさとその影響の大きさを組み合わせて表されるリスクの度合い |
| リスク分析 | リスクの特質を理解し、リスクレベルを決定するプロセス |
| リスク基準 | リスクの重大性を評価するための目安となる条件 |
| リスク評価 | リスク分析の結果をリスク基準と比較して、許容可能かどうかを判定するプロセス |
| リスク特定 | リスクを発見し、認識し、記述するプロセス |
これらのプロセスは「リスク特定 → リスク分析 → リスク評価」の順で実施します。まずリスクを洗い出し(特定)、その性質と大きさを把握し(分析)、対処が必要かどうかを判断する(評価)という流れです。
② リスクマネジメントの4つの対処法
リスク評価の結果、対処が必要と判断されたリスクには、以下の4つの方法のいずれか(または組み合わせ)で対応します。
| 対処法 | 内容 | 具体例 |
|---|---|---|
| リスクの低減 | リスク要因の予防策や被害拡大防止策を講じて発生確率や損害を小さくする | ファイアウォール導入、暗号化、入退室管理、セキュリティ教育の実施 |
| リスクの保有 | リスクが受容可能な範囲にあると判断し、あえて対策を講じない | 対策費用が損害額を上回る場合に、現状のまま受け入れる |
| リスクの回避 | リスクを伴う活動そのものを停止・中止して、リスクが発生しない状態にする | PCの社外持出し禁止、インターネット接続の遮断、Webサービスの公開停止 |
| リスクの移転 | 保険への加入や業務のアウトソーシングなどで、リスクの影響を第三者に分散させる | サイバー保険への加入、システム運用の外部委託、損害賠償条項の契約 |
③ リスク対処の判断基準(発生可能性 x 損害の大きさ)
どの対処法を選ぶかは、リスクの発生可能性と発生時の損害の大きさの2軸で判断するのが基本です。
| 損害:小 | 損害:大 | |
|---|---|---|
| 発生可能性:高 | 低減(予防措置でリスクを小さくする) | 回避(活動そのものを停止する) |
| 発生可能性:低 | 保有(受容してあえて何もしない) | 移転(保険や外注で分散する) |
たとえば、発生可能性が低いが起きたら致命的な損害(巨大地震によるデータセンター壊滅など)には、保険や遠隔地バックアップによる移転が適切です。一方、発生可能性が高く損害も大きい場合は、そもそもその活動を行わないという回避が選択されます。
具体例
4つのリスク対処法を、具体的なシーンで確認しましょう。
低減の例: 社内ネットワークにファイアウォールを設置し、外部からの不正アクセスの発生確率を下げる。また、全従業員にフィッシングメール対策の研修を行い、人的ミスによるリスクを削減する。
保有の例: 社内の古いプリンタが故障するリスクがあるが、修理費は数万円程度であり、予防的に新品に交換するより、壊れたときに対応するほうが合理的と判断して現状維持する。
回避の例: 機密データを扱う部署で、USBメモリの使用を全面禁止にする。情報漏洩のリスク自体を発生させない措置です。
移転の例: ランサムウェア攻撃による業務停止に備えて、年間保険料を払ってサイバー保険に加入する。被害が発生しても保険金で損失の一部をカバーできます。
試験のポイント
- ・要は「リスク対処4つ=低減(予防措置)・保有(何もしない)・回避(活動停止)・移転(保険/外注)
- ・発生可能性x損害で判断」
- ・JIS Q 27000の用語では、リスク特定→リスク分析→リスク評価の順序が重要
- ・過去問では対処法の具体例と名称の対応を入れ替えたひっかけが頻出
独学で診断士合格を目指すなら
過去問演習・AI添削・テキストPDFまで
すべて揃ったプレミアムプランで合格を掴む!
予備校代の1/10以下で、独学の不安をまるごと解決
- 📝1次試験 過去問演習(全7科目・年度別)無制限プレミアム限定
- 🤖2次試験 AI添削(事例I〜IV・無制限)最適なフィードバックで実力アッププレミアム限定
- 📄科目別テキストPDFダウンロード。印刷して好きな使い方で学習できるプレミアム限定
- 🔖ブックマーク機能で苦手分野・何度も確認したい部分を管理プレミアム限定
- 📊学習記録・成績管理で自分の進捗を可視化プレミアム限定
プレミアムプラン
¥9,800(税込)
自動更新なし / 1年間有効
決済は Stripe(PCI-DSS準拠)で安全に処理されます。カード情報は当サービスに保存されません。