3ステップで行うリスク分析とその手法

情報リスクマネジメントとリスク分析

悪意ある攻撃者から会社や組織の情報資産を守るためには、情報リスクマネジメントを行う必要があります。 情報リスクマネジメントとは、企業や組織が情報資産を守り、適切に管理・運用するために、 一定の方針や規定のもとに「機密性・整合性・可用性」をバランスよく維持管理することです。

情報リスクマネジメントの最初の段階として、まずリスク分析を行います。 リスク分析とは、脆弱性や脅威を特定し、セキュリティの保護手段を講じるため 、考えられる損害を評価することです。以下、具体的にリスク分析について考えてみましょう。

リスク分析のステップ

リスク分析は通常、3つのステップを踏んで行います。

ステップ１：情報資産と情報の価値を把握・判断する

10万円の価値のある情報を守るために、100万円のセキュリティを施しても割に合いません。 セキュリティ対策を行う前に、まずは所有している情報資産の把握と価値を判断します。

ステップ２：リスクを分析し、評価を行う

企業や組織に損失を発生させる脅威のリストアップや、 コンピュータのハードウェアやソフトウェアに潜む弱点や欠陥などの脆弱性の評価を行います。 また、どの程度の頻度で発生する可能性があるのか、発生してしまった場合の影響の範囲・程度なども分析します。

ステップ３：対策の選択と運用

リスク分析により、コスト/利益の比較が可能となります。 「損失の潜在的なコスト」と「安全対策の年間コスト」を比較し、対応策を決定します。

対応策には、例えば以下のようなものが考えられます。

• ウイルス対策ソフトなど、リスクを低減するための対策の実施
• 情報資産の移動やリスクからの回避措置
• 受け入れ（仮に、年間の損失額が安全対策に必要な年間のコストを下回る場合は、安全対策を実施する必要はないことになります）

リスク分析の手法

リスク分析には、以下の２つの手法があります。

• 定量的リスク分析
• 定性的リスク分析

定量的リスク分析では、一定期間に生じると予想される損失を金額で表します。 具体的な金額となって表れるので、リスクの影響と対策費用とのバランスをみるのに適しています。

定性的リスク分析は、人間による判断・直感・経験・ベストプラクティスなどが含まれており、 リスクをレベルや順位によって表します。リスクの価値をうまく金銭で表せない場合に有効です。 定量的方法に比べて取り組みやすく、主要なリスクを把握するのに適しています。