前回は、情報セキュリティのリスクの構成要素である「脅威」と「脆弱性」について説明しました。これまでの連載で説明した通り、情報セキュリティ対策を実施するには、組織を取り巻く情報セキュリティ上のリスクにどんなものがあり、それによってどのような被害や影響を及ぼす可能性があるのかを知らなければなりません。そのために欠かせない作業が「リスクアセスメント」です。今回は、情報セキュリティにおける「リスクアセスメント」のプロセスとアプローチについて解説いたします。
情報セキュリティにおける「リスクアセスメント」とは?
情報セキュリティ上のリスクに包括的かつ体系的に対応するために、組織を取り巻くリスクを明らかにしなければなりません。そこで、リスクの分析や評価を行ったうえで、どのようにリスクに対応するかを決定していくことが必要となります。この一連の作業項目を「リスクアセスメント」と呼んでいます。
情報セキュリティにおけるリスクは、一般的に以下のような式で示されます。
リスク = 資産の価値 × 脅威 × 脆弱性
この式によって求められる値を、一般に「リスク値」と呼んでいます。
そして、このリスク値を算出することにより情報セキュリティ上のリスクがどの程度なのか、その度合いを知ることができるようになります。また、リスクを知るためには、この「資産」「脅威」「脆弱性」が識別、評価できなければならないのです。
「リスクアセスメント」は、一般的に下の図表のような流れで行われます。今回は、この流れのリスク算定までのプロセスとリスク分析の主な手法について、解説していきます。
この中で、前回説明した脅威と脆弱性の識別や評価は、以下のような流れとなります。 前回までのおさらいも兼ねて、その流れを見ていきましょう。まず、組織が保有している(情報)資産を識別し、その資産に関連する脅威を識別します。さらに、その脅威に関連する脆弱性を識別し、これらを関連付けます。そのうえで、組織において損害が発生するような脅威がどのくらいの可能性で発生しうるかを評価します。
この記事は参考になりましたか?
- この記事の著者
-
株式会社ラック 長谷川 長一(カブシキガイシャラック ハセガワ チョウイチ)
株式会社ラック セキュリティアカデミー プロフェッショナルフェローソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。政府機関やIT資格団体等の委員も務めている。主な所有資格は、CISSP。主な著書(共著)は、「情報セキュリティプ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
