12-3. リスクマネジメント：リスク対応

リスク対応の選択肢は以下の通りです。 リスク回避 リスクが発生する可能性のある環境を排除するなど、リスクそのものをなくそうとすることです。例えば、個人情報を受け取らないようにしたり、その業務自体をやめたりするといった方法です。 リスク低減 セキュリティ対策（管理策）を採用することによって、リスクの発生確率を低くしたり、リスクが顕在化したときの影響の大きさを小さくしたりすることです。「軽減」「修正」と呼ばれることもあります。 リスク移転 リスクを他者に移して自分たちの責任範囲外にし、リスクが顕在化したときの損失を他者に引き受けさせることです。例えばクラウドサービスのサーバを利用することによって、サーバが破壊されたり盗難されたりするリスクを移転することができます。「共有」と呼ばれることもあります。 リスク受容（保有） 対策を行わずにリスクを受け入れるということです。被害は大きいが発生可能性がほとんどない場合や、発生しても被害がほぼない場合が該当します。

ISO/IEC 27001:2022の附属書A、ISO/IEC 27017などの管理策集から、リスクの回避、低減、移転、受容（保有）の中から選択したリスク対応に必要な全ての管理策を決定します。

必要な全ての管理策を、ISO/IEC 27001:2022附属書Aに挙げられている管理策と比較します。

必要な全ての管理策と、その理由及び実施状況を文書化します。適用宣言書に含まれる全ての管理策の実施状況は、“実施された”、“一部実施された”または“実施されていない”として記述できます。

組織がリスクに対応する必要性を含んだリスク対応計画を作成します。リスク対応計画とは、組織のリスク受容基準を満たすようにリスクを修正するための計画のことです。
組織の必要な管理策を実施するためのプロジェクト計画とは、リスクを修正するために管理策が環境と相互にどのように作用するかを記述した設計計画のことです。

リスク所有者は、リスク対応計画を承認します。

リスク所有者は、残留リスクが受容可能か否かを判断し、決定します。

リスクの内容 不正アクセスで価格が改ざんされたり、ウイルスが仕掛けられると顧客や閲覧者に被害が発生し、信用を失ったりする

リスク対応 リスク評価の結果をもとにリスク対応を決定する（今回は例として「リスクを低減する」方法を選択） 対策例：不正アクセスが発生する可能性を低減させるために、アクセス権限を最小化したり、パスワードを複雑にしたり、多要素認証を実施したりするなど、認証の強化を行い、不正アクセスが発生する可能性を低減する
対応する管理策：5.15アクセス制御

対策基準の策定（対策基準の例） 技術的対策
・公開サーバへの不正アクセス対策
・公開サーバへのアクセス権の最小化と管理の強化
・多要素認証の設定の有効化