豚吐露＠wiki

問60回答

最終更新：2009年11月17日 13:56

ohden

- view

管理者のみ編集可

ア

インターネットからの不正アクセスがWebサーバの被害にとどまるので、LAN上の配置は現状のDMZのままとする。
⇒ リスクの保有

水害を避けるために安全な高台にコンピュータセンタを移設する。
⇒ リスクの回避

大規模な災害によるシステムの長時間停止に備えて、保険に加入する。
⇒ リスクの移転

ノートPC の紛失に備えて、指紋認証の機能とPC 内に保存するデータの暗号化ソフトを取り入れる。
⇒ リスクの低減

http://www.ipa.go.jp/security/manager/protect/pdca/risk.html

【リスクへの対応】
リスク対応では、リスク評価の作業で明確になったリスクに対して、どのような対処を、いつまでに行うかを明確にします。対処の方法には、大きく分けて『リスクの低減』『リスクの保有』『リスクの回避』『リスクの移転』の4つがあります。

(1)リスクの低減
『リスクの低減』とは、脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げることです。
ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、従業員に対する情報セキュリティ教育を実施するなどがあります。

(2)リスクの保有
『リスク保有』とは、そのリスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容することです。
『許容できるリスクのレベル』を超えるものの、現状において実施すべきセキュリティ対策が見当たらない場合や、コスト(人、物、金等)に見合ったリスク対応の効果が得られない場合等にも、リスクを受容します。

(3)リスクの回避
『リスク回避』とは、脅威発生の要因を停止あるいは全く別の方法に変更することにより、リスクが発生する可能性を取り去ることです。
例えば、『インターネットからの不正侵入』という脅威に対し、外部との接続を断ち、Web上での公開を停止してしまうような場合や、水害などの被害が頻繁にあり、リスクが高いため、そのリスクの低い安全な場所と思われる場所に移転する、などが該当します。リスクを保有することによって得られる利益に対して、保有することによるリスクの方が極端に大きな場合に有効です。

(4) リスクの移転
『リスク移転』とは、リスクを他社などに移すことです。
例えば、リスクが顕在化したときに備えリスク保険などで損失を充当したり、社内の情報システムの運用を他社に委託し、契約などにより不正侵入やウイルス感染の被害に対して損害賠償などの形で移転するなどが該当します。
しかし、リスクがすべて移転できるとは限りません。多くの場合、金銭的なリスクなど、リスクの一部のみが移転できます。

更新日： 2009年11月17日 (火) 13時56分36秒

タグ：