62-01.リスクマネジメント

スポンサーリンク

リスクマネジメント

リスクマネジメントとは、情報セキュリティインシデントのリスクを把握し、影響を最小限に抑えるための管理プロセスです。

リスクマネジメントは、リスクアセスメントリスク対応から構成されます。

リスクアセスメント

リスクアセスメントは、リスク特定リスク分析リスク評価の順に実施します。

リスクアセスメント説明
リスク特定存在するリスクを洗い出す
リスク分析リスクの発生確率と影響度からリスクの大きさを計算
リスク評価リスク分析の結果から対応の実施有無を決定

リスクアセスメントの各工程を「自動車の運転」を例に解説していきます。

リスク特定

リスク特定では、想定されるリスクを洗い出します。自動車の運転では、次のようなリスクが想定されます。

●想定されるリスク
①自動車との衝突
②歩行者との衝突
③物との衝突
④車上荒らし

リスク分析

リスク分析では、洗い出したリスクの発生確率と影響度からリスクの大きさを算出します。具体的には、リスクの大きさと発生確率・影響度の関係を次のように仮定します。

リスクの大きさ=リスクの発生確率×影響度
●リスクの大きさ
①自動車との衝突=0.5×50=25
②歩行者との衝突=0.3×40=30
③物との衝突=0.2×20=4
④車上荒らし=0.01×10=0.1

リスク評価

リスク評価では、リスク分析の結果からリスク対応の必要・不要を決定します。ここで、リスク対応の基準値を次のように仮定し、リスク評価を行います。

リスクの大きさ≧20のとき⇒リスク対応が必要
リスクの大きさ<20のとき⇒リスク対応が不要
●リスク評価
①自動車との衝突=25
 ⇒リスク対応が必要
②歩行者との衝突=30
 ⇒リスク対応が必要
③物との衝突=4
 ⇒リスク対応が不要
④車上荒らし=0.1
 ⇒リスク対応が不要

つまり、「①自動車同士の衝突」と「②歩行者との衝突」のリスクは対応する必要があり、「③物との衝突」と「④車上荒らし」のリスクには対応が不要という結論になります。

このように、リスクアセスメントでは「リスク特定→リスク分析→リスク評価」の順に実施することを理解しておきましょう。

リスク対応

リスク対応では、リスクアセスメントのリスク評価に応じ、具体的な対応策を検討・実施します。

リスク対応には、リスク回避リスク低減(軽減・分散)リスク移転(共有)リスク受容があります。いずれかのリスク対応を選択・実施します。

リスク対応説明
リスク回避リスクが発生する要因をなくす
リスク低減
(リスク軽減)
(リスク分散)
リスクの発生確率と影響度を小さくする
リスク移転
(リスク共有)
リスクの影響を他者に移行させる
リスク受容リスクを受け入れる

「自動車同士の衝突」のリスクを例に、リスク対応を検討します。

●リスク対応
リスク回避:自動車に乗らない
リスク低減:安全運転を徹底、自動運転機能付き自動車に乗る
リスク移転:自動車保険に加入
リスク受容:対策をしない

リスクマネジメントリスクアセスメントリスク対応の各工程と対応策は、イメージが浮かびやすい自動車運転を例に覚えておきましょう。

この記事が気に入ったらフォロー
ぽん之助

20代サラリーマン、前職4年間で20個以上の資格に合格。ホワイト企業に転職を成功。
実体験を元に資格や勉強、転職、キャリアアップ、副業について、『ぽんぱす』で発信しています。
【保有資格】ネットワークスペシャリスト、情報処理安全確保支援士、CCNP、電気通信主任技術者(伝送/線路)、工事担任者総合種、AWS(SAA)その他多数。

ぽん之助をフォロー
ITパスポート
スポンサーリンク
ぽん之助をフォロー
ぽんぱす

コメント

タイトルとURLをコピーしました