リスク分析の目的は、現状のリスクには何があるのか、そしてその程度はどのくらいかを見極めることにある。
一般的には以下のような段取りで行なう。
リスクとは、何らかの事態が発生することに関する不確実性のこと。つまり、損失や被害やその他望ましくない出来事の起こる可能性 のことをいう。
リスクは、情報資産の中にあり、情報資産の持つ脆弱性と脅威が結びついたとき顕在化する。
リスク分析には、
がある。
【 情報資産の調査 】
保護すべき情報資産を明らかにするにあたって、情報がどこにあり、誰が管理し、どのような状況で扱われているかについて調査する。
【 情報資産の重要性による分類 】
調査した情報資産に対し、機密性、完全性、可用性の3つの側面から重要性を検討し、情報資産を分類する。
この分類は、情報資産をどのように扱い、保護するかを決めるための判断基準となり、これに基づき要求されるセキュリティ水準が定められる。
【 リスクの特定 】
リスクの発生する可能性のある場所や時間・原因などを特定する。
調査したすべての情報資産についてリスク評価を実施する。
(a) 取り巻く物理的、技術的、人的環境における脅威について調べる。
(b) 各情報資産が直面するそれぞれの脅威に対するリスクの大きさについて、
(1)脅威の発生頻度
(2)発生時の被害の大きさ
から評価する。
■リスクの種類
【 ペリル 】
損害を発生させる直接の原因のこと
【 ハザード 】
損失の発生を促進して拡大させる要因のこと
【 モラルハザード 】
倫理観や道徳的節度がなくなり、社会的な責任を果たさないこと
(1) リスクに対するマネジメント手法は、以下のようなものがある。
潜在的なリスクに対して物理的対策、技術的対策、運用管理的対策によって、損失の発生を抑制したり、損失を軽減させたりすること。
リスクの根源となるものを使用しないことにより、もとからリスクを断つ方法
【 リスク分離 】情報資産(サーバ・ネットワーク機器等)の運用を外部の業者に委託するホスティングなどもリスク移転になる。
【 リスク集中 】リスクを集中し効率的なリスク管理をおこなう。
【 リスク軽減 】(望まない出来事の発生する確率)あるいは(発生時の被害の大きさ)のいずれか、あるいは両方を小さくすることで、全体のリスクを小さくする方法です。リスク最適化ともいう。
リスクを抑制したり防止したりするための対処ではなく、リスクが顕在化して損失が発生した場合に備えて、損失の補填や対応費用を確保しておくこと。
【 リスク移転 】
損害保険等によって第三者=損害保険会社にリスクを転嫁する方法。望まない出来事の発生する確率はあまり高くないが、発生時の被害が大きい場合、この方法がよく採用されます。被害を抑止することを放棄し、金銭的に補填することで損失を最小化しようという考え方です。
【 リスク許容(保有) 】
リスクマネジメントの評価の結果、「何もしない」という方法があります。これは、リスクがあまり大きくない場合、あるいは事件の発生確率が低い場合に採用される選択肢です。
【 残留リスク 】
リスク対応の後に残っているリスクのこと
基本的には、どのようなリスク対応を行ったとしてもリスクを完全に取り除くことは、現実、不可能である。
構築したISMSが組織の要求に合致しているか否かの判断の一部に「残留リスク」の受容がある。
その結果としての残留リスクについて経営陣の承認を得ることが必要。
リスクアセスメントで対象とした全てのリスクについて、すなわち適用範囲として組織が保有している全体のリスクについて、経営陣に提示し、とくにリスク対応で低減を選択して、管理策による対策を実施しても、「リスク受容基準」以下にならなかった「残留リスク」について認識、承認してもらうことを規定しています。
「残留リスク」を受容することの決定は,発生するインシデントの影響を容認できる地位ある人が行う。
www.it-shikaku.jp