SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

図解!基礎から学び直す情報セキュリティ入門

組織を取り巻くリスクを明らかにする「リスクアセスメント」の進め方~リスク算定までのプロセスとリスク分析の手法

■第5回

 前回は、情報セキュリティのリスクの構成要素である「脅威」と「脆弱性」について説明しました。これまでの連載で説明した通り、情報セキュリティ対策を実施するには、組織を取り巻く情報セキュリティ上のリスクにどんなものがあり、それによってどのような被害や影響を及ぼす可能性があるのかを知らなければなりません。そのために欠かせない作業が「リスクアセスメント」です。今回は、情報セキュリティにおける「リスクアセスメント」のプロセスとアプローチについて解説いたします。

情報セキュリティにおける「リスクアセスメント」とは?

 情報セキュリティ上のリスクに包括的かつ体系的に対応するために、組織を取り巻くリスクを明らかにしなければなりません。そこで、リスクの分析や評価を行ったうえで、どのようにリスクに対応するかを決定していくことが必要となります。この一連の作業項目を「リスクアセスメント」と呼んでいます。

 情報セキュリティにおけるリスクは、一般的に以下のような式で示されます。

 リスク = 資産の価値 × 脅威 × 脆弱性

 この式によって求められる値を、一般に「リスク値」と呼んでいます。

 そして、このリスク値を算出することにより情報セキュリティ上のリスクがどの程度なのか、その度合いを知ることができるようになります。また、リスクを知るためには、この「資産」「脅威」「脆弱性」が識別、評価できなければならないのです。

 「リスクアセスメント」は、一般的に下の図表のような流れで行われます。今回は、この流れのリスク算定までのプロセスとリスク分析の主な手法について、解説していきます。

リスクアセスメントの流れ

 この中で、前回説明した脅威と脆弱性の識別や評価は、以下のような流れとなります。 前回までのおさらいも兼ねて、その流れを見ていきましょう。まず、組織が保有している(情報)資産を識別し、その資産に関連する脅威を識別します。さらに、その脅威に関連する脆弱性を識別し、これらを関連付けます。そのうえで、組織において損害が発生するような脅威がどのくらいの可能性で発生しうるかを評価します。

脅威・脆弱性の識別・評価

次のページ
リスク分析の手法

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
図解!基礎から学び直す情報セキュリティ入門連載記事一覧

もっと読む

この記事の著者

株式会社ラック 長谷川 長一(カブシキガイシャラック ハセガワ チョウイチ)

株式会社ラック セキュリティアカデミー  プロフェッショナルフェローソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。政府機関やIT資格団体等の委員も務めている。主な所有資格は、CISSP。主な著書(共著)は、「情報セキュリティプ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5169 2013/10/04 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング