情報セキュリティマネジメント試験 科目A 重要キーワード解説
リスクアセスメントとは、リスクマネジメントの中で、リスクを洗い出し、その大きさを見積もり、対応の優先度を判断する一連の活動です。具体的には「リスク特定 → リスク分析 → リスク評価」の3ステップで進めます。
このアセスメントの結果に基づいて、どのリスクにどう対応するか(リスク対応)を決めます。対策を闇雲に行うのではなく、評価に基づいて優先順位をつけるための重要な工程です。
| ステップ | 内容 |
|---|---|
| ① リスク特定 | 守るべき情報資産と、それに対する脅威・脆弱性を洗い出す。 |
| ② リスク分析 | 発生可能性と影響度から、リスクの大きさ(リスクレベル)を見積もる。 |
| ③ リスク評価 | あらかじめ定めたリスク基準と照らし合わせ、対応の優先度や許容可否を判断する。 |
| 手法 | 内容 |
|---|---|
| 定量的分析 | リスクを金額・確率など数値で見積もる。客観的だが算定が難しい。 |
| 定性的分析 | 「大・中・小」など段階・ランクで評価する。簡便で広く使われる。 |
そのほか、あらかじめ定めた基準と比較するベースラインアプローチ、資産ごとに詳細に分析する詳細リスク分析などの進め方があります。
リスクアセスメントを定期的に行わないと、クラウド移行・在宅勤務など環境変化で生じた新たなリスクを見落とします。例えば、私物端末の業務利用やクラウド設定ミスといったリスクは、アセスメントの更新で初めて表面化することがあります。PDCAでの見直しが重要です。