コンテンツへスキップ
脅威と対策 004

リスクマネジメントプロセス

出題ポイント

  • リスクには投機的リスクと純粋リスクがある
  • 情報セキュリティの対象は純粋リスク
  • リスクマネジメントはリスクアセスメント+リスク対応
  • リスクコミュニケーションも重要
  • リスクアセスメントは特定→分析→評価の順に行なう

リスクとは不確実性

情報セキュリティ基本方針を定めてどのような姿勢で情報セキュリティ対策に取り組むのか決めましたら、次にするのがリスク分析とリスク対応の検討です。

ところで、リスクとは何でしょう。これだけで1問出ます。

リスクとは、一般的には「危険」の意味で使われることが多いと思います。しかし、リスクマネジメントの世界では「不確実性」ととらえます。

つまり、悪い結果を生むものだけではなく、不確実ではあるけれど良い結果をもたらすものもリスクと呼ぶのです。

そして、利益又は損失をもたらすものを「投機リスク」、もっぱらマイナスの影響を与えるものを「純粋リスク」と分類しています。

このような分類はありますが、情報セキュリティの対象となるリスクは主に純粋リスクです。情報漏えいで利益が出る、なんてことはないですから。

リスクマネジメントとは

リスクマネジメントは、「リスクアセスメント、リスクの受容、リスク対応およびリスクコミュニケーションを含んだ活動で、PDCAマネジメントサイクルを構築・運用し、継続的改善を図る組織の取り組み」と定義されています。

かみ砕いていうと、「リスクマネジメントとはどのようなリスクがあるのか把握し(リスクアセスメント)、どのような対策をとるのか(リスク対応)を決めて実行、検証、改善していくこと(PDCAを回す)である。リスクによってはあえて対策をとらないこともあるし(リスクの受容)、取り組み全体を通じてコミュニケーションや協議も大事だ。」と言っているのです。

リスクアセスメント、リスク対応、モニタリング
リスクマネジメントのプロセス(JISQ31000をもとに作成)

リスクアセスメントの概略

リスクマネジメントの前半部分であるリスクアセスメントの概略を説明します。

リスクアセスメントの手順は、特定→分析→評価です。この流れを確実におさえてください。

まず、どのような情報資産を保有しているのか洗い出し、脅威と脆弱性(脅威と脆弱性については後述)を明確化します(特定)。

次に、保有する情報の機密性、完全性、可用性が損なわれた場合の影響を評価します(分析)。

最後に、リスク分析の結果とリスク基準(望ましい水準)と比較し、対応の優先順位づけをおこないます(評価)。


コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です