11-2-3. リスクの分析
リスク分析(例)
特定されたリスクに対して「リスク分析」を行います。リスク分析とは、「リスクの性質を理解し、リスクレベルを決定するプロセス」[24]のことです。リスクレベル(リスクの大きさ)は、優先的・重点的に対策が必要な情報資産を把握するために使用されます。リスクレベル(リスクの大きさ)を算定するにはさまざまな方法があります。算定方法の一例を以下に示します。
「被害発生可能性」とは、脅威が脆弱性を利用して、どの程度被害をもたらす可能性があるかを示す指標です。「脅威の起こりやすさ」と「脆弱性のつけ込みやすさ」の2つの数値を「被害発生可能性の換算表」に当てはめて算出します。
起こりやすさ(脅威)
3
通常の状況で脅威が発生する(いつ発生してもおかしくない)
2
特定の状況で脅威が発生する(年に数回程度)
1
通常の状況で脅威が発生することはない(通常発生しない)
つけ込みやすさ(脆弱性)
3
対策を実施していない(ほぼ無防備)
2
部分的に対策を実施している(一部対策を実施)
1
必要な対策をすべて実施している(対策を実施)
被害発生可能性の換算表
付け込みやすさ
(脆弱性)
3
2
1
起こりやすさ
(脅威)
3
2
1
3
2
1
2
1
1
1
1
1
(例)
-
脅威の起こりやすさ:「2」、 脆弱性のつけ込みやすさ:「2」
➡ 被害発生可能性は「1」:通常の状況で被害が発生することはない -
脅威の起こりやすさ:「3」、脆弱性のつけ込みやすさ:「2」
➡ 被害発生可能性は「2」:特定の状況で被害が発生する(年に数回程度) -
脅威の起こりやすさ:「3」、脆弱性のつけ込みやすさ:「3」
➡ 被害発生可能性は「3」通常の状況で被害が発生する(いつ発生してもおかしくない)
[24]: JISC 日本産業標準調査会.”JIS Q 27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語”. https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?show&jisStdNo=Q27000, (2023-09-21).