前回は、「脆弱性」につけ込むことで被害や影響をもたらす「脅威」について説明いたしました。これまでの回で説明したとおり、情報セキュリティ対策を実施するには、組織を取り巻く情報セキュリティ上のリスクにどんなものがあり、それによってどのような被害や影響を及ぼす可能性があるのかを知らなければなりません。そのために欠かせない作業が「リスク分析」です。今回はリスクの3つの要素「資産」「脅威」「脆弱性」によるリスク分析について説明します。

情報セキュリティ上のリスクに包括的かつ体系的に対応するために、組織を取り巻くリスクを明らかにしなければなりません。そこで、リスクの分析や評価を行ったうえで、どのようにリスクに対応するかを決定していくことが必要となります。 情報セキュリティにおけるリスクは、一般的に以下のような式で示されます。

リスク ＝ 資産の価値 × 脅威 × 脆弱性

この式によって求められる値を、一般に「リスク値」と呼んでいます。このリスク値を算定することにより情報セキュリティ上のリスクがどの程度なのか、その度合いを知ることができるようになります。また、リスクを知るためには、この「資産」「脅威」「脆弱性」が識別、評価できなければならないのです。

情報セキュリティにおけるリスク分析は、算定したリスクを評価し、組織における情報セキュリティの「リスク対応」を決定するために実施します。重要なポイントは組織におけるリスクを想定し、情報セキュリティに関わる判断や行動を適切にできるようにすることです。想定ができないことに対して、判断や行動はできません。想定ができていないのに、対策をしたとしても有効なものとなることはほぼありません。 また、リスク分析をする人や部門によって、結果がばらついたりしてはいけません。そのためには、資産や脅威、脆弱性の識別や特定、分類の方法や基準が、組織において定義されている必要があります。そして、これらの作業をする人も、組織や該当する業務を良く知っている人でなければなりません。

今回は、情報セキュリティにおける「リスク分析」について説明いたしました。次回は、「リスク対応」について説明いたします。