東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

11-2-3. リスクの分析

リスク分析(例)

特定されたリスクに対して「リスク分析」を行います。リスク分析とは、「リスクの性質を理解し、リスクレベルを決定するプロセス」[24]のことです。リスクレベル(リスクの大きさ)は、優先的・重点的に対策が必要な情報資産を把握するために使用されます。リスクレベル(リスクの大きさ)を算定するにはさまざまな方法があります。算定方法の一例を以下に示します。

「被害発生可能性」とは、脅威が脆弱性を利用して、どの程度被害をもたらす可能性があるかを示す指標です。「脅威の起こりやすさ」と「脆弱性のつけ込みやすさ」の2つの数値を「被害発生可能性の換算表」に当てはめて算出します。

起こりやすさ(脅威)

3

通常の状況で脅威が発生する(いつ発生してもおかしくない)

2

特定の状況で脅威が発生する(年に数回程度)

1

通常の状況で脅威が発生することはない(通常発生しない)

つけ込みやすさ(脆弱性)

3

対策を実施していない(ほぼ無防備)

2

部分的に対策を実施している(一部対策を実施)

1

必要な対策をすべて実施している(対策を実施)

被害発生可能性の換算表

付け込みやすさ
(脆弱性)

3

2

1

起こりやすさ
(脅威)

3

2

1

3

2

1

2

1

1

1

1

1

(例)

  • 脅威の起こりやすさ:「2」、 脆弱性のつけ込みやすさ:「2」
    被害発生可能性は「1」:通常の状況で被害が発生することはない
  • 脅威の起こりやすさ:「3」、脆弱性のつけ込みやすさ:「2」
    被害発生可能性は「2」:特定の状況で被害が発生する(年に数回程度)
  • 脅威の起こりやすさ:「3」、脆弱性のつけ込みやすさ:「3」
    被害発生可能性は「3」通常の状況で被害が発生する(いつ発生してもおかしくない)

[24]: JISC 日本産業標準調査会.”JIS Q 27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語”. https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?show&jisStdNo=Q27000, (2023-09-21).