セキュリティコラム
- Sales department
- fc-ume
最近の記事
バックナンバー
2010年2月 4日 [ コラム ]
リスクアセスメントの実際
早いもので2000年問題の年から10回目の年明けである。
筆者は2000年の正月には『もし何かあったら・・・』という理由で会社に泊まり込み、執務室で年明けを迎えた。いわゆる2000年問題の対応である。もちろん何事もなく年は明け、しばらくして乾杯し明け方帰宅した。
しかし、あのとき『もし何かあった』として筆者に何ができたのか?
本当に何かが起こることを想定したリスク管理にはなっていなかったのではないか、と改めて思い返している。
さて、今回は『リスクアセスメントの実際』である。
前回までに、
リスク値=【情報資産】×【脅威】×【脆弱性】
という話をした。
実際のリスク値の計算を行うと次のようになる。
|
脅威の評価
|
3
|
2
|
1
|
|||||||
|
脆弱性の評価
|
3
|
2
|
1
|
3
|
2
|
1
|
3
|
2
|
1
|
|
|
情報資産の評価
|
3
|
27
|
18
|
9
|
18
|
12
|
6
|
9
|
6
|
3
|
|
2
|
18
|
12
|
6
|
12
|
8
|
4
|
6
|
4
|
2
|
|
|
1
|
9
|
6
|
3
|
6
|
4
|
2
|
3
|
2
|
1
|
|
この例では各評価を3段階としているので、最大で27ということになる。
このリスク値を、情報資産の「機密性」、「可用性」、「完全性」についてそれぞれ求めていき、評価したリスク値をリスク対応によって低減させていく。
しかし、リスク値を完全にゼロにできなかったり、莫大な費用がかかったりするようなケースもある。
したがって、健全な経営の範囲内でリスクをコントロールするには、リスク対応にかかるコストも考慮に入れる必要があり、結果、ある程度の水準でリスクを受容する必要も出てくる。どの程度の水準で受容するかは、経営陣、セキュリティ担当者、ステークホルダなどでコミュニケーションを取り、経営判断としての受容水準の決定が必要である。
ここで受容水準を超える値が算出されたリスクに対してリスク対応を行うのだが、そのリスク対応の種類には次の4つが挙げられる。
(1)軽減
リスクによる被害の発生を予防する措置や、仮にリスクが顕在化してしまった場合でも被害を最小化するための措置。サーバのアクセス制限やウィルス対策など、一般的にセキュリティ対策と呼ばれている行為が該当。
(2)容認
リスクが受容水準に収まるケースや、軽微なリスクで対応コストが損失コストを上回るケースに、リスクをそのままにする措置。意思決定のもとにリスクを容認することは、立派なリスク対応であり、リスクに気がつかず放置することとは大きく異なる。
(3)回避
リスク因子を排除してしまう措置。リスク因子をもつことによって得られる利益に対してリスクの方が大きい場合などに利用される。例えばホームページを持つことで改ざんのリスク因子が発生する場合に、ホームページそのものの運用をやめてしまう、というケースである。
(4)転嫁
リスクを他社に転嫁することでリスクに対応する方法。リスクに対して保険をかけたり、リスク因子の業務を外部の会社にアウトソーシングするなどの手法がある。
今回はここまで。次回は『リスク対応の実際』。
ようやく、『リスクと利便性』の話に戻っていけそうだ。
