SC：マネジメントのバックアップ(No.4) - .NET 開発基盤部会 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
リスクの概念
リスク・アセスメント
リスク対応
- リスク対応方法の洗出
- リスク対応の実施
セキュリティ・ポリシ策定
- 概要
- 留意事項
セキュリティの組織体制
セキュリティ（情報資産の管理）
インシデント管理
監査
- セキュリティ監査
- システム監査
規格

概要 †

プロセスは、PMPのリスク・マネジメントとほぼ同じ。

リスク・アセスメント †

≒ リスク・マネジメントの計画プロセスのリスク対応計画以前

リスク対応方法の洗出 †

≒ リスク・マネジメントの計画プロセスのリスク対応計画

リスク対応の実施 †

≒ リスク・マネジメントの実行プロセス

リスク及びリスク対応方法の見直し †

≒ リスク・マネジメントの監視・制御プロセス

リスクの概念 †

リスク＝不確実性

投機的リスク †

（能動的リスクとも言う）

為替、株価のような、

好機と脅威（利益と損失）

の両方の可能性のあるリスク。

純粋リスク †

脅威（損失）のみを含むリスク。
※ 好機（利益）は含まない。

純粋リスクによる損失の種類

直接損失 †

タイムラグの無い直接的な損失
資産損失、人的損失

間接損失 †

タイムラグの有る間接的な損失
業務中断、信用失墜などの収益損失
賠償金、罰金などの責任損失

対応損失 †

後処理に掛るコスト等
復旧や再発防止の費用

情報リスク †

情報セキュリティに関するリスク。
投機的リスク、純粋リスクのうちの純粋リスクが対象。

構成要素 †

情報資産
脅威
脆弱性

間接損失の影響 †

予測し難い。
損失が大きい。

リスク・アセスメント †

目的 †

リスク・アセスメント ≒ リスク・マネジメントの計画プロセスなので、

効果的な、セキュリティ対策プランを導き出す。
限られた予算を有効活用して、最大限の対策効果を得る。

用語 †

リスク・レベル †

リスクの大きさ

リスク基準 †

重大性を評価する条件

リスク・アセスメント †

以下の体系（≒ リスク・マネジメントの計画プロセス）

リスク対応 †

リスクが顕在化した際の対応（対応計画に従い対応）

リスク所有者 †

オーナーがアカウンタビリティ（担当、権限）を持つ。

リスク受容 †

リスク対応の中の受容の意思決定。
受容後はモニタリング対象になる。

残留リスク †

リスク対応後も残留するリスク。
特定されていないリスクも含む。
残余リスク、保有リスクとも呼ぶ。

リスクアセスメント手法 †

ベースライン・アプローチ †

概要
基準やガイドラインに基づくリスク分析を行う。

メリット
- 特別なスキルは不要
- 時間やコストが少なくて済む。

デメリット
- 大まかな分析になる。
- 主観によりバラつく。
- 質問表の品質に左右される。

非公式アプローチ †

概要
知識と経験に基づくリスク分析を行う。

メリット
属人的なので分析者の能力が高ければ
高品質な分析結果になる。

デメリット
属人的なので分析者の能力が低ければ
低品質な分析結果になる。

詳細リスク分析 †

概要
- ベースライン・アプローチの逆の特徴。
- 所謂、リスクの定性分析と定量分析で、
  情報資産、脅威、脆弱性から分析・評価を行う。

メリット
- 特別なスキルが必要
- 時間やコストが必要

デメリット
- 詳細な分析になる。
- 抜けや偏りがない。
- 客観的な評価が可能。

組合せアプローチ †

概要
- 全体をベースライン分析で
- 重要部分を詳細リスク分析で

メリット
- コスパの最大化
- 重要な情報資産については詳細に分析評価可能。

デメリット
- 全体のベースラインで重要部分の誤認識が発生し得る。
- この、重要部分の判断次第で結果が大きく変わってしまう。

リスク分析評価手法 †

分析手法 †

対人
- アンケート法
- チェックリスト法
- インタビュー法

対物
- ドキュメントレビュー法
- 現地調査法

ツール
- リスク分析ツール
  チェックリストのソフトウェア化
- 脆弱性調査ツール
  ドキュメントレビュー法、現地調査法のソフトウェア化

評価手法 †

手順 †

リスク分析範囲の決定 †

ISMSの「ステップ１：適用範囲・境界の定義」のリスク版

適用範囲（組織, 情報システム, etc.）
境界定義（事業, 組織, 拠点, etc.）
最初は限定的に実施し、徐々に対象範囲を広げていく。

対象とする情報資産の種別の決定 †

電子化された情報
紙媒体も含めた情報資産

情報資産の洗出 †

情報資産の分類 †

脅威の洗出 †

脆弱性の洗出 †

リスクの洗出 †

リスクの洗出し。
- 構成要素
  - 情報資産
  - 脅威
  - 脆弱性

↓ ↓ ↓

具体的なリスクの影響

以下の様な表を使用する。

#	情報資産	脅威	脆弱性	想定されるリスク
1	...	設備 ▼	▼ 災害	...
2	...	技術 ◀	▶ 障害	...
3	...	管理 ▲	▲ 人的	...

リスクの大きさの評価 †

定性
以下の様な表を使用する。

情報資産		脅威		脆弱性レベル	想定されるリスク
名称	レベル	内容	レベル	脆弱性レベル	機密性	完全性	可用性
xxx	・機密性：a ・完全性：b ・可用性：c	yyy	x	y	axy	bxy	cxy

定量

直接損失
- 資産損失
間接損失

賠償金
機会損失
信用低下による損失

対応費用
- 損失資産の再購入
- 復旧に伴う人件費
- セキュリティ対策瀬品の購入費用

リスク顕在化頻度（回/年）

リスク強度（年間損失額）
＝（直接損失＋間接損失＋対応費用）＊リスク顕在化頻度

リスク対応 †

リスク対応方法の洗出 †

純粋リスク（脅威）に対する戦略には以下のモノがる。

戦略 †

回避
- リスク・コントロール
- リスク・ファイナンシング

転嫁
特に、保険と契約が代表的
- リスク・コントロール
- リスク・ファイナンシング

低減
回避しきれない場合は低減という対策になる。
- リスク・コントロール
- リスク・ファイナンシング

受容
回避・低減の残留リスクの受容と、
なにもしないで受容のパターンがある。

エスカレーション

リスク・コントロール †

対応手法

回避
根本原因の排除

低減

損失予防
発生頻度を減らす対応

損失軽減
発生時の影響を小さくする対応

リスク分離（分割）
情報資産など影響を受ける対象の分割（≒損失軽減）

リスク集中（結合）
情報資産など影響を受ける対象の結合（＋損失予防）

転嫁（移転）
特に、保険と契約が代表的

具体例
- 物理的対策
- 技術的対策
- 運用管理的対策

※ 脆弱性に対する対応。

リスク・ファイナンシング †

評価した損失や対応の諸費用を確保しておく。
また、転嫁のための保険もリスク・ファイナンシングに含まれる。

リスク対応の実施 †

セキュリティ・ポリシ策定 †

概要 †

効果 †

基本構成 †

効果 †

留意事項 †

組織体制 †

例（...の責任者）

情報システム部門
- システム部門
- ネットワーク部門

監査部門
法務部門
人事部門
教育部門
営業部門
事業部門
広報部門

外部専門家の活用 †

弁護士

サイバーセキュリティ

情報セキュリティの

コンサルタント（指揮統制）
- 規格、制度
- リスク・アセスメント
- 内部統制

アナリスト（分析実務）
- 最新動向
- 他社の実情

各種明確化 †

情報資産
適用対象者
目的と罰則
主体と表現
運用方法
情報資産
情報資産
情報資産

セキュリティの組織体制 †

セキュリティ（情報資産の管理） †

クライアントPC †

物理的・環境的 †

物理的 †

環境的 †

人的 †

インシデント管理 †

情報セキュリティ・インシデント

監査 †

セキュリティ監査 †

システム監査 †

規格 †

リスク・マネジメント †

ISO/IEC 31000 : 2018, JIS 31000 : 2010
PDCAによる継続的改善のフレームワーク

リスク・アセスメント †

ISO/IEC 31010 : 2009, JIS 31010 : 2012
リスク・アセスメントの体系的技法の
選択及び適用に関する手引きを提供する。

リスク分析評価手法 †

JRAM / JRMS2010 †

日本の一般財団法人JIPDECが開発した
リスク分析手法、リスクマネジメントシステム

JRAM : JIPDEC Risk Analysis Method 2002
リスク分析手法

JRMS2010 : JIPDEC Risk Management System
リスクマネジメントシステム
1992に発行、ISO31000:2009を取り入れ、
成熟度モデル、ギャップ分析の手法を導入。

CRAMM †

CRAMM：CCTA Risk Analysis Management Methodology
英国のCCTAが開発したリスク分析手法＆リスクマネジメント・システム