情報セキュリティマネジメント入門リスクアセスメント

リスクマネジメントを行うには先の通り、リスクを分析し、評価をしなければなりません。これを「リスクアセスメント」といいます。

ベースラインアプローチ

リスクの分析・評価の手法で最も手軽なのが、「JRAM」や「ALE」「CRAMM」といった既存の評価手法を用いて、自社のリスクを評価するという方法です。多くの人・企業が対象となる評価基準であるため、最低限のところでこれらのリスクに対する評価や対策を行った上で、自社のビジネスに特有のリスク評価などを行っていくとよいでしょう。

[ad]

詳細リスク分析

ベースラインアプローチでは網羅されていない、自社のビジネス内容や組織の形、業務フローなどを詳細に分析して、リスクを洗い出していく作業です。

確実な分析ができますが、この分析を行うためのコストや手間がかかります。

どちらかを採用するというよりは、両者のメリットを活かしながら分析を行う「複合アプローチ」が取られることが多いです。

リスクの識別

リスクを分析するには、まずは自社の情報資産にどんなリスクがあるのかを、識別しなければなりません。

これには、先に紹介した「情報のCIA」、つまり「機密性」「完全性」「可用性」の観点が用いられます。

例えば、顧客データなどの場合は機密性や完全性は当然ながら、営業中に参照する機会もあるため可用性も重要となります。そのため、資産価値は最高レベルとなり、リスクの非常に高い情報資産であると言えます。

このように、各情報資産に対して評価をしていきます。

脅威・脆弱性の特定

次に、それらの情報資産にどのような脅威があり、どのような脆弱性があるかを評価します。特にネットワークに接続されたコンピュータに保管されている情報の場合、脅威の数や種類が増え、それによって脆弱性も増えていくため、例えば機密性の高い情報は、あえてネットワークからは切断したコンピュータに保管しておくといったことも必要になります。

リスク評価

これら、リスク分析や識別を経て、リスクを評価していきます。

定量的リスク評価

リスクの分析結果を数値で表して評価する方法です。数値しにくい要素もあるため、どのような評価基準で数値化していくかも検討していく必要があります。

定性的リスク評価

明確な数値化はできなくても、評価者の経験や知識などから、ある程度リスクの評価をすることができるため、これを基準とする方法です。定量的な評価と定性的な評価を合わせて評価をすることもあります。

リスクの受容水準

冒頭の通り、リスクはすべてを防ぐというのは、コストの面などを考えると現実的とは言えません。そのため、どこまでならリスクを受容することができるのかを費用対効果などから検討する必要があります。