リスク

/ .trash / Comment[0]
リスクとは、何らかの事態が発生することに関する「不確実性」を意味する。
その事態とは必ずしもマイナスなことばかりではなく、利益を生むことも含まれる。

リスクには、投機的リスク純粋リスク(動態的リスク,静的リスク)の二つある。
投機的リスクは、株価や為替相場のように利益と損失のいずれかを生む可能性のある不確実性のことを指し、純粋リスクは損失のみを生む可能性のある不確実性を指す。

情報リスクの3大要素
情報資産 守るべき価値のある情報や情報システム
脅威 影響、損失を与える直接的な要因
脆弱性 脅威と結びつくことで情報資産を脅かす要因となる弱点や欠陥

純粋リスクが顕在化すると損失が発生する。つまり脅威によって、情報システムの正常な状態に"差異"が生じたときに"損失"が発生する。
差異の生じる不確実性=リスク
生じた差異=損失

純粋リスクの顕在化によって生じる損失は3つある。
直接損失 情報機器の故障,盗難による資産損失、事故やミスによる人的損失
間接損失 業務中断,信用失墜などによる収益損失、賠償責任,罰金などによる責任損失
対応費用 復旧に要する費用、再発防止の対策費用


リスクアセスメント
ISO/IEC 27001(JIS Q 27001)ではそれぞれ次のように定義している。
・リスク分析 リスク因子を特定するための、及びリスクを算定するための情報系統的使用
・リスク評価 リスクの重大さを決定するために、算定されたリスクを与えられたリスク基準と比較するプロセス
・リスクアセスメント リスク分析からリスク評価までのプロセス
・リスクマネジメント リスクに関して組織を指揮し管理する調整された活動

リスクアセスメントの目的は、効果的なセキュリティ対策プランを導き出すことである。リスクアセスメントの結果に基づいてセキュリティ対策をすることで、限られた予算を有効活用して最大限の対策効果を得るという効果もある。

主なリスク分析手法
ベースラインアプローチ 基準やガイドラインに基づく質問項目に回答することで簡易にリスク分析を行う
 メリット コストが少ない,スキルは不要
 デメリット 回答者により結果にばらつきが生じやすい,質問表の品質によって結果が左右される
非公式アプローチ 体系化された方法や基準は使わず、分析者の知識と経験により行われる分析
 メリット 分析者の能力が高ければ高品質な分析結果を得ることが出来る
 デメリット 分析者の能力や主観によって分析結果の品質が左右される
詳細リスク分析 情報資産・脅威・脆弱性の洗い出しと評価を行い、リスクの大きさを評価する手法
 メリット リスクを詳細に把握し、評価することが可能,客観的な評価が可能
 デメリット 実施には時間と労力が必要 分析者に専門的なスキルが必要
組み合わせアプローチ 組織全体を簡易に分析。重要度が高い組織や業務に対して詳細リスク分析を適用
 メリット 分析に必要なコストや人材資源と分析結果とのバランスを最適化出来る
 デメリット 適用するリスク分析方法の判断によって結果の品質が大きく左右される

リスク分析の主な調査手法
アンケート アンケート結果により分析を行ない、対象組織の状況やセキュリティ意識を大まかに把握する
チェックリスト法 質問事項を列挙したアンケートを行い、分析の対象となる組織や情報システムの現状について設備、技術、運用管理面などを総合的に調査する
ドキュメントレビュー法 分析対象となる組織や情報システムに関する各種資料,文書などを調査し、ドキュメント類の有効性を評価したり、アンケート回答の裏付けを行う
現地調査法 分析者が実際に見て調査することで、リスクの見落としや誤認識を減らす
インタビュー法 関係者に分析者が直接質問して調査し、不明瞭な部分や疑問点などを質問する
リスク分析ツール リスク分析ツールを用いる
脆弱性検査ツール ツールを用いて擬似攻撃を仕掛け、脆弱性を詳細に検査する手法

リスク評価方法の種類
リスク強度を算出し、評価する方法には、定性的評価定量的評価がある。
定性的評価は、リスクの大きさを金額以外(レベルなんとか,大・中・小)で表す評価手法である。
定量的評価は、リスクの大きさを金額で表す評価手法である。
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可