定義
- イベントから損害を被るかもしれないリスクを受け入れること。
- 脅威と脆弱性を明らかにして、これらを制御することにより、リスクを軽減すること。
対策レベル
資産を保護するコストと許容できるリスクのレベルのバランスにより行う。
- 敵、方法、機会、動機
- 資産価値
- 脅威
- 脆弱性
- 結果リスク
- 対応策
- リスク耐性
目的
重要な考慮事項
- 脅威の内容:どのような事態が発生するのか。
- 脅威の影響:その事態が発生した場合、そのような損失が考えられるか。
- 脅威の年次発生頻度:その程度の頻度で発生するのか。
- 不確実度の認識:上記の3つに対する回答は、どの程度確実なのか。
リスク分析の目的は対策のプライオリティチェック
- どの部門の保有リスクが高いか
- どのシステム、サービスの保有リスクが高いか
- どのリスクが発生すると影響度が大きいか
- どのリスクが発生しやすいか
- 既存の対策が効果的に実施されるか
これらの情報を元に情報セキュリティ予算の配分を行う
- 1回の事故における損失額が高いからといって、全体的な損害が大きくなるとは限らない
リスク分析手法
定量的リスク分析
- リスク評価の各要素及び潜在的損失の評価に、それぞれ客観的なコストを割り当てること
- すべての要素を定量化した時点で、完全にて定量的であると見なされる
- 多くの時間と人材が必要となる
定性的リスク分析
- シナリオ(ベースライン)アプローチ
- 構成要素に数値を割り当てないが、完全な定性的リスク分析が可能
最終更新:2008年11月19日 15:06
