リスク・アセスメント
【 Risk assessment 】
目 次
Links †
リスクマネジメント †
リスクアセスメントとは †
- 『危険因子査定』:リスク特定、リスク分析、リスク評価を網羅するプロセス全体を指す。
- リスク特定 (risk identification) - リスクを発見し、認識し、記述するプロセス
- リスク分析 (risk analysis) - リスクの特質を理解し、リスクレベルを決定するプロセス
- リスク評価 (risk evaluation) - リスク(とその大きさ)が受容可能か(許容可能か)を決定するためにリスク分析の結果をリスク基準と比較するプロセス
情報資産 †
- 日本ネットワークセキュリティ協会 > 情報資産
- 資産とは、企業の業務遂行の過程で生み出される価値あるもののことです。資産には、不動産や商品など、目に見えるものもあれば、財務情報、人事情報、顧客情報、技術情報などの目に見えないものもあります。これらのことを、情報資産といい、情報セキュリティ上の脅威から守る必要があります。
- 企業には、多くの情報資産が蓄えられており、それらは、コンピュータ、記録媒体、紙、または人の記憶や知識など、さまざまな形態をとります。ITの普及に伴い、情報資産の価値は、ますます高まっているといえます。
- BCP(Business Continuity Plan):事業継続計画
- 災害などリスクが発生したときに重要業務が中断しないこと。また、万一事業活動が中断した場合でも、目標復旧時間内に重要な機能を再開させ、業務中断に伴うリスクを最低限にするために、平時から事業継続について戦略的に準備しておく計画。
資産のリスク管理プロセス †
- 置かれている状況の確定
- リスクアセスメント
- リスク特定
- リスク分析
- リスク評価
- リスク対応
- モニタリング及びレビュー
- コミュニケーション及び協議
資産のリスクアセスメント †
資産のリスク特定 †
- リスク特定
グループ | 情報資産 | 重要度 | 脅威 | 脆弱性 | リスク要因 | リスクスコア | 機密性 | 完全性 | 可用性 | (残留リスク) | PC | PCハードウェア | 1 | 1 | 1 | 1 | 1 | 無くても良い | 1 | PCソフトウェア | ? | ? | ? | ? | ? | … | ? | 電子メールデータ | ? | ? | ? | ? | ? | … | ? | アドレスデータ | ? | ? | ? | ? | ? | … | ? | レポートデータ | ? | ? | ? | ? | ? | … | ? | 家(勉強部屋) | 机引き出し | ? | ? | ? | ? | ? | … | ? | 机引き出し(鍵付き) | ? | ? | ? | ? | ? | … | ? | 書棚 | ? | ? | ? | ? | ? | … | ? |
資産のリスク分析 †
1 重要度スコア †
- 機密性
スコア | 判断基準 | 4 | 極秘:内容が漏えいした場合、BCPが困難なほど深刻かつ重大な影響がある。(訴訟等) | 3 | 秘密:内容が漏えいした場合、大きな影響がある。(組織の信用等) | 2 | 部外秘:内容が漏えいした場合、中程度の影響がある。(個人の信用等) | 1 | 公開:内容が漏えいした場合でも、影響が少ない。 |
- 完全性
スコア | 判断基準 | 4 | 最重要:完全・正確でないと、BCPが困難なほど深刻かつ重大な影響がある。 | 3 | 重要:完全・正確でないと、大きな影響がある。 | 2 | 要:完全・正確でないと、中程度の影響がある。 | 1 | 不要:不完全・不正確でも、影響が少ない。 |
- 可用性
スコア | 判断基準 | 4 | 最高:可用性が失われると、BCPが困難なほど深刻かつ重大な影響がある。 | 3 | 高:可用性が失われると、大きな影響がある。 | 2 | 中:可用性が失われると、中程度の影響がある。 | 1 | 低:可用性が失われても、影響が少ない。 |
- 重要度スコア
- [重要度スコア] = [機密性スコア] × [完全性スコア] × [可用性スコア]
- [最高重要度スコア] = 4 × 4 × 4 = 64
- [最低重要度スコア] = 1 × 1 × 1 = 1
2 脅威のスコア †
- 意図的脅威:改ざん、破壊、侵入、盗難等の、いわゆる犯罪に対する“恐れ”
- 偶発的脅威:紛失、入力ミス、うっかり削除等の、いわゆる人的過失に対する“恐れ”
- 環境的脅威:台風、水害、落雷、高温多湿、直射日光等の、とりまく環境に対する“恐れ”
スコア | 判断基準 | 3 | 高:発生する可能性が高く、常時、あるいは頻繁に脅威にさらされている。 | 2 | 中:発生する可能性は中程度で、数ヶ月に1回程度脅威にさらされている。 | 1 | 低:発生する可能性は低く、年に1回程度脅威にさらされている。 |
3 脆弱性のスコア †
- 脆弱性とは、『脅威に対する固有の弱点』
スコア | 判断基準 | 3 | 高:脅威に対して、ほとんど対策をしていない。 | 2 | 中:脅威に対して、ある程度対策をしている。 | 1 | 低:脅威に対して、万全の対策をしている。 |
資産のリスク評価 †
資産のリスク・スコア †
- リスク・スコア
- [リスク・スコア] = [重要度スコア] × [脅威スコア] × [脆弱性スコア]
- [最高リスク・スコア] = 64 × 3 × 3 = 576
- [最低リスク・スコア] = 1 × 1 × 1 = 1
- リスク受容可能レベル一覧
脅威 | 1 | 2 | 3 | 脆弱性 | 1 | 2 | 3 | 1 | 2 | 3 | 1 | 2 | 3 | 資産の重要度 | 1 | 1 | 2 | 3 | 2 | 4 | 6 | 3 | 6 | 9 | 2 | 2 | 4 | 6 | 4 | 8 | 12 | 6 | 12 | 18 | 3 | 3 | 6 | 9 | 6 | 12 | 18 | 9 | 18 | 27 | 4 | 4 | 8 | 12 | 8 | 16 | 24 | 12 | 24 | 36 | 6 | 6 | 12 | 18 | 12 | 24 | 36 | 18 | 36 | 54 | 8 | 8 | 16 | 24 | 16 | 32 | 48 | 24 | 48 | 72 | 9 | 9 | 18 | 27 | 18 | 36 | 54 | 27 | 54 | 81 | 12 | 12 | 24 | 36 | 24 | 48 | 72 | 36 | 72 | 108 | 16 | 16 | 32 | 48 | 32 | 64 | 96 | 48 | 96 | 144 | 18 | 18 | 36 | 54 | 36 | 72 | 108 | 54 | 108 | 162 | 24 | 24 | 48 | 72 | 48 | 96 | 144 | 72 | 144 | 216 | 27 | 27 | 54 | 81 | 54 | 108 | 162 | 81 | 162 | 243 | 32 | 32 | 64 | 96 | 64 | 128 | 192 | 96 | 192 | 288 | 36 | 36 | 72 | 108 | 72 | 144 | 216 | 108 | 216 | 324 | 48 | 48 | 96 | 144 | 96 | 192 | 288 | 144 | 288 | 432 | 64 | 64 | 128 | 192 | 128 | 256 | 384 | 192 | 384 | 576 |
資産のリスク対応 †
- リスク回避
- a) リスクを生じさせる活動を開始又は継続しないと決定することによって、リスクを回避する。
- リスク低減(最適化)
- b) ある機会を追求するために、そのリスクを取る又は増加させる。
- c) リスク源を除去する。
- d) 起こりやすさを変える。
- e) 結果を変える。
- リスク移転(共有)
- f) 一つ以上の他者とそのリスクを共有する(契約及びリスクファイナンシングを含む。)。
- リスク保有
- g) 情報に基づいた意思決定によって、そのリスクを保有する。
リスクアセスメント表 †
|