27-12. 第12章. リスクマネジメント

12-1. リスクマネジメント:概要
リスクマネジメントプロセス（ISO 31000）
　リスクを効率的に管理し、発⽣する可能性がある損失を回避、低減するプロセス全体のことを「リスクマネジメント」といいます。リスクマネジメントの国際規格としてISO 31000があります。リスク対応にあたり、リスクマネジメントプロセスにおける「リスクアセスメント」が必須です。リスクアセスメントとは、組織や企業が抱える資産に対するリスクの洗い出しや分析、評価を⾏い、リスク対応の優先順位付けをしていくプロセスです。

情報セキュリティリスクマネジメント（ISO/IEC 27005）
　ISO/IEC 27005は、情報セキュリティにおけるリスクマネジメントに関する国際規格です。ISO 31000と整合性があり、情報セキュリティに特化した内容になっています。

ISO/IEC 27001におけるリスクマネジメント手順
　ISO/IEC 27001はISMSの枠組みを提供し、その中で必要となるリスクマネジメントの具体的な手法やプロセスの詳細を提供しているものが、ISO/IEC 27005です。ISO/IEC 27001の活動は、ISO/IEC 27005におけるリスクマネジメントプロセスと関連付けて整理できます。

12-2. リスクマネジメント:リスクアセスメント
12-3. リスクマネジメント:リスク対応
　リスクマネジメント全体の流れは下記の図の通りです。リスクアセスメントでは、組織や企業が抱える資産に対するリスクの洗い出しや分析、評価を⾏い、リスク基準と⽐較してリスク対応が必要か否か判断します。リスクの特定には、「資産ベースのアプローチ」と「事象ベースのアプローチ」の2つの方法があります。情報資産ごとに、その重要度を「機密性」「完全性」「可用性」が損なわれた場合の事業への影響度から決め、重要度と被害発⽣の可能性からリスクレベルを求めます。このリスク評価の結果をもとに、受容可能でないものについては、「低減」、「移転」、「回避」、「受容（保有）」からリスク対応を選択します。すべての残留リスクが受容できるレベルになるまで、このリスク評価のプロセスを繰り返します。

章を通した気づき・学び
　リスクマネジメントはセキュリティ対策にとって⽋かせないものですが、顕在化していないリスクについて考えることが難しい場合もありますが、「資産ベースのアプローチ」によって網羅的にリスクを特定するようにしましょう。リスクマネジメントプロセスにおける各段階の考え方や手法を用いることで、円滑なリスク特定、分析と対応策の選択と実施が可能になります。このプロセスによってすべてのリスクをコントロールし、残留リスクを受容可能なレベルにすることができます。