.png)
前回の記事
-
.png)
-
🏢 Phase2:組織と管理(Day8)|ISMSとは何か?PDCAとリスクアセスメントの本質ISMSとは何か?|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/28
1. なぜ“管理”が問われるのか? 情報セキュリティマネジメント試験は、技術試験ではありません。 問われているのは、 「組織としてどう管理するか」 です。 ファイアウォールの仕組みよりも、 どうルール ...
1. リスクは「ゼロ」にできない
情報セキュリティの世界でまず理解すべきこと。
リスクはなくならない。
どれだけ対策をしても、
リスクは必ず残ります。
だから重要なのは、
どう扱うかを決めること。
これがリスク対応です。
2. リスク対応の4類型とは?
リスクへの基本的な対応は、次の4つに分類されます。
① 回避(Avoid)
② 低減(Mitigate / Reduce)
③ 移転(Transfer)
④ 受容(Accept)
試験では頻出です。
「このケースはどれか?」
瞬時に判断できるようにしましょう。
3. ① 回避(Avoid)
リスクの原因そのものを取り除く。
例:
- 危険なサービスを使わない
- データをそもそも取得しない
- 外部公開をやめる
リスクが発生する活動をやめる。
これが回避です。
ただし、
ビジネス機会も同時に失う可能性があります。
4. ② 低減(Mitigate / Reduce)
リスクの発生可能性や影響を小さくする。
例:
- アクセス制御を強化
- 暗号化を導入
- バックアップを取得
- 多要素認証を導入
最も一般的な対応策です。
試験でも、
具体的対策はほぼ「低減」に該当します。
5. ③ 移転(Transfer)
リスクを他者に分担させる。
例:
- サイバー保険加入
- 外部委託契約で責任範囲明確化
- クラウド事業者とのSLA
重要ポイント:
リスクそのものは消えない。
「負担を分ける」だけ。
ここを混同しないこと。
6. ④ 受容(Accept)
リスクを理解した上で、
対策を取らずに受け入れる。
例:
- 影響が軽微
- 対策コストが高すぎる
- 発生確率が極めて低い
重要なのは、
無対策=受容ではない。
評価した上で、
経営判断として受け入れること。
これが本質です。
7. 試験での判断ポイント
よくある問題:
「この対策はどれに該当するか?」
例:
- データを取得しない → 回避
- 多要素認証導入 → 低減
- 保険加入 → 移転
- 軽微なリスクを放置 → 受容
キーワードで即判断できるように。
8. リスク対応は“選択”である
重要なのは、
どれが正解かではなく、
状況に応じて選ぶこと。
例えば:
高影響 × 高頻度 → 低減または回避
低影響 × 低頻度 → 受容
この判断力が問われます。
9. 経営視点での理解
リスク対応は技術判断ではありません。
最終判断は経営。
なぜなら、
- どのリスクを受容するか
- どこまでコストをかけるか
は経営責任だからです。
試験でも、
「トップマネジメントの承認」
がキーワードになります。
10. よくある誤解
❌ 移転=リスクがなくなる
→ 違います。責任分担です。
❌ 受容=何もしない
→ 違います。評価済み判断です。
❌ 低減=ゼロにする
→ 違います。減らすだけです。
この誤解を正すだけで、
正答率が上がります。
11. 今日のアウトプット課題
考えてみてください。
自社の代表的なリスクを1つ挙げ、
- 回避できるか?
- 低減すべきか?
- 移転できるか?
- 受容するか?
なぜその判断か?
書ければ、理解は定着しています。
12. 今日のまとめ
✔ リスクはゼロにならない
✔ 対応は4類型で整理できる
✔ 最も多いのは「低減」
✔ 受容は経営判断
✔ 移転は責任分担
次回:
Day10|委託先管理の落とし穴と契約上の注意点
リスクを「外に出した瞬間」に生まれる、
新たな管理課題に踏み込みます。
-
.png)
-
🏢 Phase2:組織と管理(Day10)|委託先管理の落とし穴と契約上の注意点|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/28
前回の記事 1. リスクは“外に出すと増える” 業務委託、クラウド利用、外部ベンダー。 便利です。しかし同時に、 管理対象が社外に広がる という意味を持ちます。 情報を渡した瞬間、その管理責任は完全に ...
