リスクマネジメント
リスクマネジメントとは、情報セキュリティインシデントのリスクを把握し、影響を最小限に抑えるための管理プロセスです。
リスクマネジメントは、リスクアセスメントとリスク対応から構成されます。
リスクアセスメント
リスクアセスメントは、リスク特定、リスク分析、リスク評価の順に実施します。
| リスクアセスメント | 説明 |
|---|---|
| リスク特定 | 存在するリスクを洗い出す |
| リスク分析 | リスクの発生確率と影響度からリスクの大きさを計算 |
| リスク評価 | リスク分析の結果から対応の実施有無を決定 |
リスクアセスメントの各工程を「自動車の運転」を例に解説していきます。
リスク特定
リスク特定では、想定されるリスクを洗い出します。自動車の運転では、次のようなリスクが想定されます。
●想定されるリスク
①自動車との衝突
②歩行者との衝突
③物との衝突
④車上荒らし
①自動車との衝突
②歩行者との衝突
③物との衝突
④車上荒らし
リスク分析
リスク分析では、洗い出したリスクの発生確率と影響度からリスクの大きさを算出します。具体的には、リスクの大きさと発生確率・影響度の関係を次のように仮定します。
リスクの大きさ=リスクの発生確率×影響度
●リスクの大きさ
①自動車との衝突=0.5×50=25
②歩行者との衝突=0.3×40=30
③物との衝突=0.2×20=4
④車上荒らし=0.01×10=0.1
①自動車との衝突=0.5×50=25
②歩行者との衝突=0.3×40=30
③物との衝突=0.2×20=4
④車上荒らし=0.01×10=0.1
リスク評価
リスク評価では、リスク分析の結果からリスク対応の必要・不要を決定します。ここで、リスク対応の基準値を次のように仮定し、リスク評価を行います。
リスクの大きさ≧20のとき⇒リスク対応が必要
リスクの大きさ<20のとき⇒リスク対応が不要
リスクの大きさ<20のとき⇒リスク対応が不要
●リスク評価
①自動車との衝突=25
⇒リスク対応が必要
②歩行者との衝突=30
⇒リスク対応が必要
③物との衝突=4
⇒リスク対応が不要
④車上荒らし=0.1
⇒リスク対応が不要
①自動車との衝突=25
⇒リスク対応が必要
②歩行者との衝突=30
⇒リスク対応が必要
③物との衝突=4
⇒リスク対応が不要
④車上荒らし=0.1
⇒リスク対応が不要
つまり、「①自動車同士の衝突」と「②歩行者との衝突」のリスクは対応する必要があり、「③物との衝突」と「④車上荒らし」のリスクには対応が不要という結論になります。
このように、リスクアセスメントでは「リスク特定→リスク分析→リスク評価」の順に実施することを理解しておきましょう。
リスク対応
リスク対応では、リスクアセスメントのリスク評価に応じ、具体的な対応策を検討・実施します。
リスク対応には、リスク回避、リスク低減(軽減・分散)、リスク移転(共有)、リスク受容があります。いずれかのリスク対応を選択・実施します。
| リスク対応 | 説明 |
|---|---|
| リスク回避 | リスクが発生する要因をなくす |
| リスク低減 (リスク軽減) (リスク分散) | リスクの発生確率と影響度を小さくする |
| リスク移転 (リスク共有) | リスクの影響を他者に移行させる |
| リスク受容 | リスクを受け入れる |
「自動車同士の衝突」のリスクを例に、リスク対応を検討します。
●リスク対応
・リスク回避:自動車に乗らない
・リスク低減:安全運転を徹底、自動運転機能付き自動車に乗る
・リスク移転:自動車保険に加入
・リスク受容:対策をしない
・リスク回避:自動車に乗らない
・リスク低減:安全運転を徹底、自動運転機能付き自動車に乗る
・リスク移転:自動車保険に加入
・リスク受容:対策をしない
リスクマネジメントのリスクアセスメントとリスク対応の各工程と対応策は、イメージが浮かびやすい自動車運転を例に覚えておきましょう。
【まとめ】リスクマネジメント
それでは最後におさらいをしておきましょう!
| 用語 | 説明 |
|---|---|
| リスクマネジメント | 情報セキュリティの脆弱性と脅威に対するリスクを把握し、その影響を最小限に抑えるための管理プロセス [リスクアセスメント』と『リスク対応』から構成される |
| リスクアセスメント | 『リスク特定』『リスク分析』『リスク評価』の順に実施する |
| リスク特定 | 存在するリスクを洗い出す |
| リスク分析 | リスクの発生確率と影響度から、リスクの大きさを算定 |
| リスク評価 | リスクの大きさと(受容)基準と比較し、対応を検討 |
| リスク対応 | リスクアセスメントのリスク評価に応じて、具体的な対応策を実施すること |
| リスク回避 | リスクが発生する要因をなくす 例.車に乗らない |
| リスク低減 (軽減・分散) | リスクの発生確率と影響度を小さくする 例.安全運転をする、自動運転機能のある自動車に乗る |
| リスク移転 (共有) | リスクの影響を他者に移行させる 例.自動車保険に加入する |
| リスク受容 | リスクを受け入れる ※リスクの発生確率と影響度が小さい場合 例.特になにもしない |
コメント