目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. 選択肢1:リスク回避
    2. 選択肢2:リスク低減
    3. 選択肢3:リスク移転(リスク共有)
    4. 選択肢4:リスク保有(リスク受容)
    5. 4つの選択肢の使い分け
    6. 用語の注意点:「移転」と「共有」、「保有」と「受容」
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック

対象試験と出題頻度

リスク対応は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで出題される超重要テーマです。

「回避」「低減」「移転」「保有」の4つの選択肢の違いを正確に理解することが、得点のカギになります。

詳細をクリックして確認
対象試験:
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
出題頻度:
★★★★★
ランクS(超重要)絶対に覚える必要あり

用語の定義

リスク対応(Risk Treatment)とは、一言で言うと「リスクアセスメントで特定したリスクに対して、どのような措置を取るかを決めて実行するプロセス」のことです。

イメージとしては、「健康診断で見つかった病気に対して、治療方針を決める」ようなものです。
病気が見つかったら、「手術で取り除く(回避)」「薬で症状を抑える(低減)」「保険で治療費をカバーする(移転)」「経過観察で様子を見る(保有)」といった選択肢から最適なものを選びますよね。リスク対応もこれと同じ考え方です。

情報処理試験を勉強していると、「低減と回避ってどう違うの?」「移転と共有は同じ意味?」と混乱しがちです。この記事では、4つの選択肢の違いを具体例とともに整理して、試験で確実に正解できるレベルまで解説します。

📊 リスク対応の4つの選択肢

選択肢 やること 身近な例
回避 リスクの原因となる活動をやめる 危険な場所に行かない
低減 対策を講じてリスクを小さくする シートベルトを締める
移転(共有) リスクを他者と分担する 保険に加入する
保有(受容) リスクを受け入れて何もしない 小さな傷は放置する

解説

リスク対応は、リスクアセスメント(特定→分析→評価)の後に行うプロセスです。リスクアセスメントで「このリスクには対策が必要」と判断されたリスクに対して、具体的にどのような措置を取るかを決めて実行します。

リスク対応には「回避」「低減」「移転(共有)」「保有(受容)」の4つの選択肢があります。どの選択肢を選ぶかは、リスクの大きさ、対策にかかるコスト、ビジネスへの影響などを総合的に判断して決めます。

選択肢1:リスク回避

リスク回避は、リスクの原因となる活動そのものをやめてしまうことです。

例えば、「クラウドサービスを使うと情報漏えいのリスクがある」という場合、「クラウドサービスを使わない」と決めればリスク自体がなくなります。「海外拠点との通信にセキュリティリスクがある」なら、「海外拠点を閉鎖する」ことでリスクを回避できます。

ただし、リスク回避は「活動をやめる」ことを意味するため、ビジネス機会の損失につながる可能性があります。そのため、回避を選ぶのは「リスクが非常に大きく、他の対応では許容できない場合」に限られることが多いです。

💡 リスク回避のポイント

キーワード:やめる、撤退する、中止する
具体例:危険なサービスの利用停止、リスクの高い事業からの撤退
特徴:リスクはゼロになるが、ビジネス機会も失う可能性がある

選択肢2:リスク低減

リスク低減は、セキュリティ対策を講じてリスクを小さくすることです。4つの選択肢の中で最もよく使われる対応方法です。

リスクの大きさは「発生確率×影響度」で表されますが、リスク低減では「発生確率を下げる」または「影響度を下げる」(あるいは両方)ことを目指します。

例えば、「不正アクセスのリスク」に対して「ファイアウォールを導入する」のは発生確率を下げる対策です。「情報漏えいのリスク」に対して「データを暗号化する」のは、漏えいしても被害を小さくする(影響度を下げる)対策です。

📌 リスク低減のポイント

キーワード:対策する、軽減する、緩和する
具体例:ファイアウォール導入、暗号化、アクセス制御、バックアップ、セキュリティ教育
特徴:リスクはゼロにはならないが、許容可能なレベルまで下げる

選択肢3:リスク移転(リスク共有)

リスク移転は、リスクを他者と分担することです。「リスク共有」とも呼ばれます。

最も一般的な例は保険への加入です。サイバー保険に加入しておけば、情報漏えい事故が発生した場合の損害賠償費用や復旧費用を保険会社がカバーしてくれます。自社だけでリスクを抱えるのではなく、保険会社とリスクを分担(共有)しているわけです。

もう一つの典型例は外部委託(アウトソーシング)です。セキュリティ運用を専門のセキュリティ会社に委託すれば、その業務に関するリスクの一部を委託先に移転できます。ただし、すべてのリスクが移転できるわけではなく、最終的な責任は委託元に残ることが多い点に注意が必要です。

📝 リスク移転(共有)のポイント

キーワード:保険、外部委託、アウトソーシング、分担
具体例:サイバー保険への加入、セキュリティ運用の外部委託
特徴:リスク自体はなくならないが、損害発生時の負担を軽減できる

選択肢4:リスク保有(リスク受容)

リスク保有は、リスクがあることを認識した上で、あえて何もしないことです。「リスク受容」とも呼ばれます。

「何もしないなんてあり得ない」と思うかもしれませんが、実務では合理的な判断としてリスク保有を選ぶことがあります。例えば、「対策に1000万円かかるが、被害が発生しても損害は10万円程度」というリスクに対して、1000万円の対策を講じるのは明らかに非合理的です。このような場合は、リスクを保有して「被害が発生したら10万円払う」と割り切る方が合理的です。

ただし、リスク保有は「何も考えずに放置する」こととは違います。リスクを認識し、その大きさを分析した上で、「このリスクは許容範囲内だから対策しない」と意思決定することがリスク保有です。

📝 リスク保有(受容)のポイント

キーワード:受け入れる、許容する、何もしない
具体例:対策コストが被害額を大きく上回るリスク、発生確率が極めて低いリスク
特徴:リスクを認識した上での意思決定であり、無視や放置とは異なる

4つの選択肢の使い分け

「4つもあって、どう使い分けるの?」と感じた人も多いのではないでしょうか。

実務での使い分けは複雑ですが、試験対策としては以下の判断基準を覚えておけば十分です。

📊 リスク対応の使い分け(試験対策用)

選択肢 選ぶ場面
回避 リスクが大きすぎて、活動自体をやめた方がいい場合
低減 活動は続けたいが、リスクを小さくしたい場合(最も一般的)
移転 自社だけでリスクを抱えたくない場合(保険・外部委託)
保有 対策コストが被害を上回る場合、リスクが十分小さい場合

用語の注意点:「移転」と「共有」、「保有」と「受容」

試験では、同じ意味の用語が異なる言葉で出題されることがあります。

「リスク移転」=「リスク共有」です。ISO 27001などの国際規格では「リスク共有(Risk Sharing)」という用語が使われることが多いですが、日本の試験では「リスク移転」という表現も頻出です。どちらも同じ意味なので、両方の用語を覚えておきましょう。

「リスク保有」=「リスク受容」です。こちらも同じ意味の用語です。試験では両方の表現が使われるので、どちらが出ても対応できるようにしておきましょう。

⚠️ 試験での注意点

リスク対応はリスクアセスメントの「後」に行うプロセスです。リスクアセスメント(特定・分析・評価)とリスク対応(回避・低減・移転・保有)は別物なので、混同しないように注意しましょう。「リスクアセスメントに含まれるものはどれか」という問題で「リスク低減」を選ばないようにしてください。

試験ではこう出る!

リスク対応は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで頻出です。以下のポイントを確実に押さえておきましょう。

【頻出キーワード】

  • リスク対応の4つの選択肢:回避・低減・移転(共有)・保有(受容)
  • 回避:リスクの原因となる活動をやめる
  • 低減:対策を講じてリスクを小さくする(最も一般的)
  • 移転(共有):保険加入、外部委託などでリスクを分担
  • 保有(受容):リスクを認識した上であえて何もしない
  • リスク対応はリスクアセスメントの後に行う

試験問題で「保険に加入してリスクに備える」という記述があれば「リスク移転(共有)」、「リスクのある事業から撤退する」という記述があれば「リスク回避」が正解です。

📝 IPA試験での出題パターン

リスク対応の問題は、「具体的な対策がどの選択肢に該当するか」を問う形式が多いです。

「ファイアウォールの導入」→低減、「サイバー保険への加入」→移転、「サービスの廃止」→回避、「対策コストが見合わないため対策しない」→保有、といった対応関係を覚えておきましょう。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. 「サイバー攻撃による損害に備えて、サイバー保険に加入する」という対応は、リスク対応のどの選択肢に該当するでしょうか?

  • A. リスク回避:リスクの原因となる活動をやめてしまうこと
  • B. リスク低減:セキュリティ対策を講じてリスクを小さくすること
  • C. リスク移転(共有):保険や外部委託などでリスクを他者と分担すること

正解と解説を見る

正解:C

解説:
サイバー保険への加入は「リスク移転(リスク共有)」に該当します。保険に加入することで、サイバー攻撃による損害が発生した場合の金銭的な負担を保険会社と分担(共有)できます。リスク自体がなくなるわけではありませんが、損害発生時の経済的なダメージを軽減できます。
選択肢Aの「リスク回避」は、リスクの原因となる活動そのものをやめることです(例:危険なサービスの利用停止)。選択肢Bの「リスク低減」は、ファイアウォール導入や暗号化など、セキュリティ対策を講じてリスクの発生確率や影響度を下げることです。保険への加入は対策ではなく、損害発生時の負担を分担する行為なので、低減ではなく移転に該当します。