企業を襲うサイバー脅威 情報セキュリティにおける「リスク分析」

前回は、「脆弱性」につけ込むことで被害や影響をもたらす「脅威」について説明いたしました。これまでの回で説明したとおり、情報セキュリティ対策を実施するには、組織を取り巻く情報セキュリティ上のリスクにどんなものがあり、それによってどのような被害や影響を及ぼす可能性があるのかを知らなければなりません。そのために欠かせない作業が「リスク分析」です。今回はリスクの3つの要素「資産」「脅威」「脆弱性」によるリスク分析について説明します。

情報セキュリティ上のリスクに包括的かつ体系的に対応するために、組織を取り巻くリスクを明らかにしなければなりません。そこで、リスクの分析や評価を行ったうえで、どのようにリスクに対応するかを決定していくことが必要となります。 情報セキュリティにおけるリスクは、一般的に以下のような式で示されます。

リスク = 資産の価値 × 脅威 × 脆弱性

この式によって求められる値を、一般に「リスク値」と呼んでいます。このリスク値を算定することにより情報セキュリティ上のリスクがどの程度なのか、その度合いを知ることができるようになります。また、リスクを知るためには、この「資産」「脅威」「脆弱性」が識別、評価できなければならないのです。

情報セキュリティにおけるリスク分析は、算定したリスクを評価し、組織における情報セキュリティの「リスク対応」を決定するために実施します。重要なポイントは組織におけるリスクを想定し、情報セキュリティに関わる判断や行動を適切にできるようにすることです。想定ができないことに対して、判断や行動はできません。想定ができていないのに、対策をしたとしても有効なものとなることはほぼありません。 また、リスク分析をする人や部門によって、結果がばらついたりしてはいけません。そのためには、資産や脅威、脆弱性の識別や特定、分類の方法や基準が、組織において定義されている必要があります。そして、これらの作業をする人も、組織や該当する業務を良く知っている人でなければなりません。

今回は、情報セキュリティにおける「リスク分析」について説明いたしました。次回は、「リスク対応」について説明いたします。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

企業を襲うサイバー脅威 リスク分析で決定する「リスク対応」

長谷川長一

「リスク対応」を選択する場合には、まず前回説明したリスク分析の結果に基づき、自社におけるそのリスクの発生の可能性と発生した場合の影響の度...

前の記事

企業を襲うサイバー脅威 「脆弱(ぜいじゃく)性」につけこむ「脅威」とは

長谷川長一

前回は、情報セキュリティ上の守るべきもの「資産」が持っている「脆弱(ぜいじゃく)性」について説明いたしました。今回は「脆弱性」につけ込むこ...

関連記事

企業を襲うサイバー脅威 企業内部の人的脅威③「ヒューマンエラー」

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置...

企業を襲うサイバー脅威 企業内部の人的脅威②「内部不正」

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不...

企業を襲うサイバー脅威 企業内部の人的脅威①「内部不正」

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず...