定量的評価と定性的評価
定量的評価
定量的評価とは、リスクの大きさを金額で表現する方法です。
代表的手法としてALE(Annual Loss Exposure)があります。
ALE=f(損失が発生する予想頻度)× i(1回当たりの予想損失額)で表します。
要は、予想される損失に見合う予算手当をすればよい、という発想です。
定性的評価
他方、定性的評価はリスクの大きさを段階評価(大/中/小とか5段階とか)で表現する方式です。
代表的手法としてJRMSを覚えておいてください。これはJIPDEC(一般財団法人日本情報経済社会推進協会)が開発した質問票形式のリスク分析手法です。
リスクの大きさを実際に計算させる問題が出ます。計算問題といってもALEにあてはめてかけ算をするだけとか、与えられたマトリクスに評価値を代入して計算するだけなど簡単なものなので焦って勘違いしたりしなければ大丈夫でしょう。
それよりALEとかJRMSとかは知らないと即アウトですから気をつけてください。もちろん他にも手法はいろいろありますが、この2つだけ外さなければ得点できます(たぶん)。いろいろ覚えてパンクするよりこの2つだけ覚えておく方がいいと私は思います。
リスク分析手法
リスク分析は具体的にどのようにおこなえばよいのか、いくつかの方法が提唱されています。
名称 | 内容 | 特徴 |
---|---|---|
ベースラインアプローチ | 一定の確保すべきセキュリティレベルを設定して、組織全体で一律にリスク評価を行なう手法 | ○チェックリストに回答するだけなので簡易かつ低コスト
×個々の情報資産についてみるとセキュリティレベルが高すぎたり、低すぎたりする可能性 |
非形式アプローチ | 担当者や有識者がその知識や経験等を踏まえてリスクを評価する | ○短時間でできる
×分析者の主観的判断に結果が左右される |
詳細リスク分析 | 情報資産の価値、脅威の大きさ、脆弱性の程度を掛け合わせて評価する | ○情報資産に応じたリスクレベルが把握できる
×手間とコストがかかる |
組み合わせアプローチ | 重要な情報資産については詳細リスク分析を行ない、その他についてはベースラインアプローチや非形式アプローチによる | 実務では多く用いられている |
ベースラインアプローチ
一番最初の「ベースラインアプローチ」は分かりにくいと思います。例えば、「情報資産を保管する引き出しは施錠すべきである」というガイドラインがあった場合に、「施錠しているかどうか」をベースライン(基準)として、職員の健康診断結果を保管している引き出しにも、外部からもらってきた名刺を保管している引き出しにも同じ基準を適用して施錠の有無をチェックしていくというやり方です。
ある情報資産については施錠なんか必要ないかもしれませんし、ある情報資産については施錠だけではなく万一盗難に遭った場合に備えて暗号化まで必要かもしれません。ベースラインアプローチではそういった違いをとりあえず無視します。
非形式アプローチは経験と勘
これは担当者の経験に頼るやり方、といえます。
(理屈はともかく)一定の経験を積んで業務に精通した方のおっしゃることはたいてい正しい、という事実を根拠にした方式です。
理論的な裏付けはないのでなぜそのような結論に至ったのか説明できないですとか、リスク評価の会議(検討会)のその場の雰囲気で結論が大きく変わってくるなどの欠点はありますので注意が必要ではあります。
コストや時間が他の方式より小さく、それでいて大きく間違うことはあまり考えられないということから、小規模組織には向いたやり方といえるでしょう。