情報資産のリスクマネジメント  | 序論 | リスク評価方法 | リスク評価実践 | リスク処理 |

5: リスク算出・評価方法

 リスクの評価には、リスク値という危険性の点数で評価する方法を紹介します。
リスク値の求め方は以下のようになります。

リスク値 = 重要度点数 × 脅威点数 × 脆弱性点数

 重要度点数、脅威点数、脆弱性点数というのは、前項4にて紹介したフローの、
それぞれB、C、D番目の処理にて算出される値です。これらの算出方法は次項以降説明します。


6: 重要度の分類と重要度点数算出

 重要度は、情報の資産価値を機密性、完全性、可用性の3つの側面で分類します。
そして、それぞれ重要度に合わせて点数をつけます。

機密性公開できる程度により3つに分類します(4分類法もありますが、簡単な3分類法にします)
低)一般公開できる情報 ⇒点数は1点
中)社員全員に公開できる情報 ⇒点数は2点
高)関係者のみに公開できる情報 ⇒点数は3点

完全性 … 内容が変更あるいは改ざんされた際のビジネス的影響度(3分類法)
低)関連部署に影響 ⇒点数は1点
中)全社に影響 ⇒点数は2点
高)関係会社や顧客に影響 ⇒点数は3点

可用性 … 破損や消失等で利用停止となった場合の、時間的緊急度(3分類法)
低)明日以降の復旧でも可能 ⇒点数は1点
中)その日の内に復旧を要する ⇒点数は2点
高)1時間以内に復旧を要する ⇒点数は3点

 ここで、各項目の点数を掛け合わせたものが、前項で示した重要度点数となります。

重要度点数機密性点数 × 完全性点数 × 可用性点数


7: 脅威の洗い出しと、脅威点数算出

 脅威とは、文字通り『恐れ』のことです。
その脅威にさらされる頻度をもとに3つの側面で分類し、重要度と同じように点数をつけます。
例えば、毎日のようにウィルスの脅威にさらされているメールソフトは、この脅威のポイントが高いです。

意図的脅威 … 改ざん、破壊、進入、盗難等の、いわゆる犯罪に対する“恐れ”です。
低)1ヶ月に1回未満脅威にさらされている ⇒点数は1点
中)1ヶ月に1回〜数回脅威にさらされている ⇒点数は2点
高)常時、あるいは頻繁に脅威にさらされている ⇒点数は3点

偶発的脅威 … 紛失、入力ミス、うっかり削除等の、いわゆる人的過失に対する“恐れ”です。
低)1ヶ月に1回未満脅威にさらされている ⇒点数は1点
中)1ヶ月に1回〜数回脅威にさらされている ⇒点数は2点
高)常時、あるいは頻繁に脅威にさらされている ⇒点数は3点

環境的脅威 … 落雷、高温、多湿、直射日光等の、とりまく環境に対する“恐れ”です。
低)1ヶ月に1回未満脅威にさらされている ⇒点数は1点
中)1ヶ月に1回〜数回脅威にさらされている ⇒点数は2点
高)常時、あるいは頻繁に脅威にさらされている ⇒点数は3点

 ここで、各項目の点数を掛け合わせたものが、前項で示した脅威点数となります。

脅威点数意図的脅威点数 × 偶発的脅威点数 × 環境的脅威点数


8: 脆弱性の洗い出しと、脆弱性点数算出

 ここでの脆弱性とは、『脅威に対する固有の弱点』という意味です。
例えば、盗難可能性の高いノートパソコン本体に対して、チェーンロック等の措置をしていない場合、 それは盗難という脅威に対する脆弱性があると判断されます。

意図的脅威 … 改ざん、破壊、進入、盗難等の、いわゆる犯罪に対する“恐れ”です。
低)脅威に対して、対策が万全である ⇒点数は1点
中)脅威に対してある程度対策をしている ⇒点数は2点
高)脅威に対してほとんど対策をしていない ⇒点数は3点

 なお、対策が万全でなくて対策が必要となるリスクを“残存(残留)リスク”と言います。


9: リスク値の高いものから措置を

 さて、ここまででリスク値の計算方法が分かりました。 リスク値が高いと、その情報資産に対するリスクが高いということになります。 つまり、管理上、リスク値の高い情報資産から何らかの措置を講ずることになります。

 さて、次のページに実際使えるリスクアセスメント表とその使用方法を載せましたので、 百聞は一見にしかずということで実践してみてください。