📌 結論から理解する
リスク対応=「リスクをどう扱うか」4つの選択肢
リスクアセスメントで洗い出したリスクに対して、組織は4種類のいずれかの対応方針を選択します。
コスト・効果・許容水準を考慮して最適な選択をするのがリスク対応の本質です。
4種類の名称と具体例が頻出。「この状況でどれを選ぶか」という場面問題が午後問題にも出ます。
リスク対応の4種類
🚫
① 回避(Avoidance)
リスクの原因ごとやめる。
リスクが高すぎる事業・活動・システムを中止・廃止する。
例:危険な古いシステムを廃止・リスクの高い海外拠点から撤退
リスクが高すぎる事業・活動・システムを中止・廃止する。
例:危険な古いシステムを廃止・リスクの高い海外拠点から撤退
🛡️
② 低減(Reduction)
対策でリスクを許容レベルまで下げる。
最もよく使われる対応。技術・組織・物理対策を組み合わせる。
例:パッチ適用・MFA導入・教育実施・アクセス制御強化
最もよく使われる対応。技術・組織・物理対策を組み合わせる。
例:パッチ適用・MFA導入・教育実施・アクセス制御強化
🤝
③ 転嫁/移転(Transfer)
リスクの結果を第三者に移す。
リスク自体はなくならないが、損害の負担を移転する。
例:サイバー保険加入・業務の外部委託・クラウド利用
リスク自体はなくならないが、損害の負担を移転する。
例:サイバー保険加入・業務の外部委託・クラウド利用
✋
④ 受容(Acceptance)
リスクを認識した上で意図的に受け入れる。
対策コストが損害額を上回る軽微なリスクに適用する。
例:発生確率が極めて低い脅威を許容水準内として受け入れる
対策コストが損害額を上回る軽微なリスクに適用する。
例:発生確率が極めて低い脅威を許容水準内として受け入れる
どれを選ぶか?判断の基準
回避を選ぶとき
リスクが許容できないほど高く、対策しても残余リスクが大きすぎる場合
低減を選ぶとき
対策コストが見合い、リスクを許容レベルまで下げられる見込みがある場合(最多)
転嫁を選ぶとき
自社での対策が困難・コスト高。損害を保険や契約で補填できる場合
受容を選ぶとき
リスクが許容範囲内、または対策コストが損害期待値を大幅に超える場合
「受容=放置・無視」ではない。リスクを認識した上で意図的に受け入れることが受容です。経営層の判断と承認が必要です。
残余リスクと受容の関係
リスク対応のフロー
固有リスク
→ 対策実施 →
残余リスク
→ 許容判断 →
受容 or さらに対策
- 対策を実施してもゼロにはならないリスクが残余リスク
- 残余リスクが許容基準以内なら「受容」として承認する
- 残余リスクが許容基準を超えるなら、さらに対策を追加するか「回避」を検討
- 残余リスクの受容は必ず経営層の承認が必要(ISMS要件)
サイバー保険(転嫁の具体例)
近年普及しているサイバー保険は、リスク転嫁の代表例です。
| 補償の例 | 内容 |
|---|---|
| 情報漏えい対応費用 | 通知費用・調査費用・弁護士費用 |
| 事業中断損失 | サイバー攻撃でシステムが止まった期間の損失補填 |
| 第三者への賠償 | 漏えいされた顧客への損害賠償 |
| 不正送金被害 | ビジネスメール詐欺などによる送金被害 |
保険はリスクをなくすのではなく、損害の金銭的負担を移転するだけ。セキュリティ対策の代替にはならない。
🧠 確認クイズ
Q1. 発生確率が非常に低く、対策コストが損害期待額を大幅に上回るリスクへの対応として最も適切なのは?
Q2. サイバー保険の加入はリスク対応の4種類のどれか?
Q3. 残余リスクの説明として正しいのは?