2023 秋午後問04

情報資産を保護するためには，リスクを洗い出すことが出発点となる。リスクを洗い出した後，そのリスクによる情報資産への影響を分析した上で，対策の必要性を評価し，具体的な対策の内容を検討することが重要である。これらのリスクアセスメントからリスク対応までのプロセスを適切に行えることが，情報処理安全確保支援士（登録セキスぺ）には要求される。本問では，業務委託関係にある百貨店と運送会社を題材に，リスクアセスメントを実施する能力，及び個々のリスクを低減するための対策を立案する能力を問う。