ITパスポート 過去問
令和3年度
問99 (テクノロジ系 問99)

具体例として「損害保険」が挙げられます。

本来、情報セキュリティ事故というのはあってはならないことですが、

万一、踏み台攻撃の被害に遭って他のサーバーにマルウェアを感染させてしまった場合、

賠償責任を負いかねません。

こうしたリスクに備え、賠償支払いの負担を保険会社に担当してもらえる（リスクを移転できる）よう、

保険に加入しておくのも、リスク対応のひとつです。

前提として、リスクとは

OSのサポートが切れている → セキュリティホールがそのまま
通信が暗号化されていない → 盗聴されるかもしれない
機密文書がコピー機に放置されることが多い → 情報漏洩に繋がりやすい

といった、何か危険なことが起こるかもしれない可能性のことを言います。

保有資産の使用目的というのは、問題文にある

マルウェア対策ソフト→情報セキュリティ対策

の他にも、

Word→ビジネス文書を作成
Excel→経理やデータ分析

のように、「なぜ、そのソフトを使うのか」というものです。

確かにマルウェア対策ソフトは定義ファイルを更新しながら運用すれば、ウィルス感染を未然に防ぐことはできます。
しかし、これは「効果」であってリスクに対する具体的な対策となります。

リスク特定は、それ以前に「どんな危険性が潜んでいるか」を洗い出すことであり、リスク低減とは結びつきません。

「評価方法を分類」とありますので、これはリスク対策における分類基準のようなものの定義と捉えることができます。
対して、リスクを「回避する」というのは

サポート期限の切れたOSを使用しない
セキュリティホールが多く報告されているプラットフォームは採用しない

といった、具体的な判断やアクションが伴うものです。

問題文にあるように、その判断やアクションのために「リスク評価の分類基準」を参考とする場合は考えられますが、
あくまで「評価→判断→回避」という流れであり、評価そのものが回避策に分類される訳ではありません。

分析手法の分類や、自社が抱えている脆弱性の評価を行っていますが、これは何のための活動でしょうか？
こうした、自社が抱えるリスクの評価をリスクアセスメントといいますが、これはリスクに対する対策を決定するために行います。

「保有」という手段自体、リスクへの対策としてありうる話です。万一セキュリティ事故が発生しても、
その損失が無視できるほど小さいものや、対策にかけるコストのほうが上回る場合には敢えて対策しないほうが得策といえます。

しかし、その判断を下すのはリスクアセスメント、つまりは「どのようなリスクがあるか」を洗い出して重要性の評価を行ったあとのことです。

よって「リスクアセスメント」「リスク保有」はまったくの別物ですので、この選択肢は不正解です。