リスクアセスメントとは
情報資産に対して、脅威や脆弱性が存在することでリスクは顕在化する。 経営活動を安全に行うためには、次の三つの手続きが不可欠である。
- 現存するリスクを評価できる
- 組織として許容できるリスクの水準を知る
- 1と2の間にギャップが存在する場合、それを埋めるための対策をとる
1と2がリスクアセスメント、3がいわゆるセキュリティ対策に他ならない。 一般的にセキュリティ対策として有効といわれているものでも、きちんとしたリスクアセスメントのもとに適用しないと、自社組織にとってであったり、有害であったりする場合がある。
取組み方法の種類
リスクアセスメントはセキュリティ対策に不可欠のものだが、その取組み方法は、ベースラインアプローチと詳細リスク分析に大別することができる。これらのリスク分析を行う結果、リスクによる損失の大きさと発生頻度を得ることができる。
ベースラインアプローチ
ベースラインアプローチは、標準化された手法やツールを使って自社リスクを評価する方法である。 低コストで素早く実施することができる。また、多くの人が開発に携わり確立してきた手法であるため、比較的安定した結果が得られるという特長もある。
ただし、こうした標準化手法やソフトウェア、ツールは多くの企業や組織で利用してもらうことを前提にした大公約数で作成されているため、自社組織特有のリスクなどに十分に対応できない欠点がある。
詳細リスク分析
詳細リスク分析は、自社組織の業態、業務フローに適合した形で、情報資産の洗い出しや脅威の把握、脆弱性の検証、そこから導かれるリスクの度合いなどを算出する方法である。 完全な形で詳細リスク分析を行うためには、自社オリジナルのリスク分析手法を開発する必要があるだろう。
うまく運用することができれば、詳細リスク分析は自社のリスクを網羅的に誤差なく算出できる可能性がある。ただし、その実施のためには高度なスキルをもった人員やそれなりの分析期間が必要になり、コスト面でベースラインアプローチに劣る。
複合アプローチ
最近では複合アプローチ (組み合わせアプローチ)を採用する企業が多くなってきている。 最初に簡単なアセスメントを行い、重要な業務は詳細リスク分析を、一般的 な業務にはベースラインアプローチを用いる方法である。いずれにしても、最初にどのような手法でリスクアセスメントを実施するかを明確化しなければならない。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント