技術要素 - 11.セキュリティ - 2.情報セキュリティ管理 - 2.リスク分析と評価

Last Update : January 02 2021 16:00:29

     

a. リスク分析と評価(リスクアセスメント)

リスク分析の目的は、現状のリスクには何があるのか、そしてその程度はどのくらいかを見極めることにある。
一般的には以下のような段取りで行なう。

  1. 情報資産の洗い出し(プライオリティの設定)
  2. 洗い出された資産に対するリスク評価

リスクとは、何らかの事態が発生することに関する不確実性のこと。つまり、損失や被害やその他望ましくない出来事の起こる可能性 のことをいう。
リスクは、情報資産の中にあり、情報資産の持つ脆弱性と脅威が結びついたとき顕在化する。

リスク分析には、

  • 定性的分析
    リスクの大きさを金額以外(大・中・小、相対的な値)などで表す方法
  • 定量的分析
    リスクの大きさを金額で表す方法
    リスクの大きさ = ( 望まない出来事の発生する確率 )×( 発生時の被害の大きさ )

がある。

情報資産の調査
保護すべき情報資産を明らかにするにあたって、情報がどこにあり、誰が管理し、どのような状況で扱われているかについて調査する。

情報資産の重要性による分類
調査した情報資産に対し、機密性、完全性、可用性の3つの側面から重要性を検討し、情報資産を分類する。
この分類は、情報資産をどのように扱い、保護するかを決めるための判断基準となり、これに基づき要求されるセキュリティ水準が定められる。

リスクの特定
リスクの発生する可能性のある場所や時間・原因などを特定する。


b. リスク評価

調査したすべての情報資産についてリスク評価を実施する。
(a) 取り巻く物理的、技術的、人的環境における脅威について調べる。
(b) 各情報資産が直面するそれぞれの脅威に対するリスクの大きさについて、
 (1)脅威の発生頻度
 (2)発生時の被害の大きさ
から評価する。

■リスクの種類

  • 財物損失リスク
    有形・無形の物的資産などが失われるリスクのことで、物的資産には権利、能力、特許権、ノウハウなどがある。
  • 利益損失リスク
    問題が発生したことにより、本来得られたであろう利益を失うリスクのことで、システムダウンにおける派生費用(代替案による機能継続に必要な費用など)などがある。
  • 賠償責任負担リスク
    損害賠償を支払うことにより生じる損失リスクのことで、製造物責任などがある。
  • 人的損失リスク
    活動従事者の就業不能により業務活動に生じる支障リスクのことで、能力、技術の低下による業績悪化、信用力低下などがある。

ペリル
損害を発生させる直接の原因のこと

ハザード
損失の発生を促進して拡大させる要因のこと

モラルハザード
倫理観や道徳的節度がなくなり、社会的な責任を果たさないこと


c. リスク対策

(1) リスクに対するマネジメント手法は、以下のようなものがある。

  1. リスクコントロール

    潜在的なリスクに対して物理的対策、技術的対策、運用管理的対策によって、損失の発生を抑制したり、損失を軽減させたりすること。

    リスク回避

    リスクの根源となるものを使用しないことにより、もとからリスクを断つ方法

    リスク分離

    情報資産(サーバ・ネットワーク機器等)の運用を外部の業者に委託するホスティングなどもリスク移転になる。

    リスク集中

    リスクを集中し効率的なリスク管理をおこなう。

    リスク軽減

    (望まない出来事の発生する確率)あるいは(発生時の被害の大きさ)のいずれか、あるいは両方を小さくすることで、全体のリスクを小さくする方法です。リスク最適化ともいう。

  2. リスクファイナンス

    リスクを抑制したり防止したりするための対処ではなく、リスクが顕在化して損失が発生した場合に備えて、損失の補填や対応費用を確保しておくこと。

    リスク移転
    損害保険等によって第三者=損害保険会社にリスクを転嫁する方法。望まない出来事の発生する確率はあまり高くないが、発生時の被害が大きい場合、この方法がよく採用されます。被害を抑止することを放棄し、金銭的に補填することで損失を最小化しようという考え方です。

    リスク許容(保有)
    リスクマネジメントの評価の結果、「何もしない」という方法があります。これは、リスクがあまり大きくない場合、あるいは事件の発生確率が低い場合に採用される選択肢です。

残留リスク
リスク対応の後に残っているリスクのこと
基本的には、どのようなリスク対応を行ったとしてもリスクを完全に取り除くことは、現実、不可能である。
構築したISMSが組織の要求に合致しているか否かの判断の一部に「残留リスク」の受容がある。
その結果としての残留リスクについて経営陣の承認を得ることが必要。
リスクアセスメントで対象とした全てのリスクについて、すなわち適用範囲として組織が保有している全体のリスクについて、経営陣に提示し、とくにリスク対応で低減を選択して、管理策による対策を実施しても、「リスク受容基準」以下にならなかった「残留リスク」について認識、承認してもらうことを規定しています。
「残留リスク」を受容することの決定は,発生するインシデントの影響を容認できる地位ある人が行う。


  [ 例題 ] 
  1. 平成12年度春期 問76  セキュリティ
  2. 平成13年度春期 問57  セキュリティ
  3. 平成20年度春期 問68  リスク分析


     

www.it-shikaku.jp