リスクアセスメント
- リスクアセスメント
- リスクの分析と評価のこと。情報セキュリティポリシー対策基準策定時に行う。
リスク分析手法
「IT セキュリティマネジメントのガイドライン−第3部:ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)」では次の4つのリスク分析方法が示されている。
- ベースラインアプローチ
- 汎用的な対策基準(ベースライン)を策定し、対象となるシステムに一律に適用する。
- ○詳細なリスク分析を行わないため、低コスト。
- ×一律に適用するため、過剰防衛や対策不十分が発生しやすい。
- 非形式的アプローチ
- 詳細リスク分析
- 詳細なリスクアセスメントを実施し評価する。
- ○厳密なリスク評価が行える
- ×工数大
- 組合せアプローチ
詳細リスク分析の手法
「リスク = 情報資産の価値 x 脅威 x 脆弱性」として、情報資産ごとにそれぞれの値を見積もり、評価する。
手順
リスク対策
基本的には「リスク低減」を図るが、ほかの方法もある。