情報セキュリティにおける「リスクアセスメント」とは?
情報セキュリティ上のリスクに包括的かつ体系的に対応するために、組織を取り巻くリスクを明らかにしなければなりません。そこで、リスクの分析や評価を行ったうえで、どのようにリスクに対応するかを決定していくことが必要となります。この一連の作業項目を「リスクアセスメント」と呼んでいます。
情報セキュリティにおけるリスクは、一般的に以下のような式で示されます。
リスク = 資産の価値 × 脅威 × 脆弱性
この式によって求められる値を、一般に「リスク値」と呼んでいます。
そして、このリスク値を算出することにより情報セキュリティ上のリスクがどの程度なのか、その度合いを知ることができるようになります。また、リスクを知るためには、この「資産」「脅威」「脆弱性」が識別、評価できなければならないのです。
「リスクアセスメント」は、一般的に下の図表のような流れで行われます。今回は、この流れのリスク算定までのプロセスとリスク分析の主な手法について、解説していきます。
リスクアセスメントの流れ
この中で、前回説明した脅威と脆弱性の識別や評価は、以下のような流れとなります。 前回までのおさらいも兼ねて、その流れを見ていきましょう。まず、組織が保有している(情報)資産を識別し、その資産に関連する脅威を識別します。さらに、その脅威に関連する脆弱性を識別し、これらを関連付けます。そのうえで、組織において損害が発生するような脅威がどのくらいの可能性で発生しうるかを評価します。
脅威・脆弱性の識別・評価
