無料で使えるシステムトレードフレームワーク「Jiji」 をリリースしました!

・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。

リスクアセスメント

リスクアセスメント
リスクの分析と評価のこと。情報セキュリティポリシー対策基準策定時に行う。

リスク分析手法

「IT セキュリティマネジメントのガイドライン−第3部:ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)」では次の4つのリスク分析方法が示されている。

  1. ベースラインアプローチ
    • 汎用的な対策基準(ベースライン)を策定し、対象となるシステムに一律に適用する。
    • ○詳細なリスク分析を行わないため、低コスト。
    • ×一律に適用するため、過剰防衛や対策不十分が発生しやすい。
  2. 非形式的アプローチ
  3. 詳細リスク分析
  4. 組合せアプローチ
    • 複数のアプローチの併用。
    • ベースラインアプローチと詳細リスク分析の組合せ、ベースライン定め一律に適用しつつ、セキュリティレベルの高いものについては個別に詳細リスク分析を行うなど。
    • 複数の手法のメリットを享受できる。現実路線。

詳細リスク分析の手法

「リスク = 情報資産の価値 x 脅威 x 脆弱性」として、情報資産ごとにそれぞれの値を見積もり、評価する。

手順
  1. 情報資産の洗い出し
    • 保護するべき情報資産を洗い出す。
  2. 資産ごとの、脅威/脆弱性の洗い出し
    • 各情報資産ごとに起こりうる脅威と、脆弱性を収集する。
      • 脅威と脆弱性を混同しないこと。脅威がないから、といって脆弱性もなしとするのは、重大な脆弱性を放置することにつながるのでまずい。
  3. 損害の評価
    • 脅威が顕在化した場合の事業上の損害を見積もる。
  4. 脅威/脆弱性の評価
    • 「脅威が発生する可能性」「実施されている対策」等を踏まえ、脅威と脆弱性を評価する。
  5. リスクの算出
    • 「リスク = 情報資産の価値 x 脅威 x 脆弱性」としてリスクを見積もる。
    • ただし、単純な算出値だけに頼るのは危険。人間の判断を加味して評価すること。
    • たとえば、情報資産の価値が低く、脅威の発生率が0だとしても、危険な脆弱性を放置するのは危険。
  6. 対策の検討
    • リスクの評価結果を元に、リスクに対する対策を検討する。
      • 対策にかかる費用も考慮に入れる。対策によって軽減されるリスクに対する費用対効果も重要。
リスク対策

基本的には「リスク低減」を図るが、ほかの方法もある。

  • リスク低減
    • 脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げる。基本的にはこれで。
  • リスク回避
    • 脅威発生の要因をなくす。発生頻度・損害ともに大きい場合に。
      • インターネットからの不正アクセス→ネットワークに接続しない
      • 個人情報の漏洩→個人情報を収集しない、とか
  • リスク保有
    • セキュリティ対策を行わず、許容範囲内として受容する。発生頻度・損害ともに小さいものに有効。
  • リスク移転
    • 発生したリスクを他社などに移す。発生頻度は低いが発生時の損害が大きいものに有効。
      • 保険への加入
      • 情報システムの運用を他社に委託し、契約により被害に対して損害賠償などの形で移転するなど