なんとなくわかる「リスクアセスメント」

スポンサーリンク

リスクアセスメントとは

リスクアセスメントとは、システムや電子機器などの情報資産で発生する可能性のある潜在的脅威や危険性を分析して特定し、その脅威の発生確率や発生した場合の影響度等を評価して対策を講じる一連の手順を指します。

リスクとは、情報資産に起こる脅威やその脅威の発生する確率、脅威によって起きる損害の程度を指します。リスクの大きさによってリスクを許容やリスクを減らすなどの対策を行います。

手順としては以下の3つの流れで行われます。

リスク特定・・リスクの原因やリスクによって発生する事象を特定する

リスク分析・・リスクによる被害の大きさや発生頻度などからリスクの程度を分析する

リスク評価・・リスクの程度からリスクをどう対処するかの評価を行う

脅威について

リスクにつながる脅威には内部から起こるものと外部から起こるものに分かれています。

外部からの脅威

外部からの脅威としてはマルウェアの侵入やサイバー攻撃不正アクセスなどの攻撃者から行われる情報資産を狙ったものが挙げられます。

内部からの脅威

内部からの脅威としてはセキュリティ対策の不足やソフトウェアの脆弱性など外部から攻撃を受けやすくなる原因になるもの内部の人間によるミスによる情報資産の流出などの企業のセキュリティモラルの低下が原因となるものがあります。

リスクアセスメントの手順

リスク特定

リスク源、リスクによって生じる事象、それらの原因および起こり得る結果を発見・認識し、文書として記述するプロセス

発生したリスクについてを特定する作業になります

リスク分析

リスクの特質を理解し,リスクを算定し,リスクレベルを決定するプロセス

リスク評価

リスク及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセス

コメント

タイトルとURLをコピーしました