「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
概念 †
リスク=不確実性
投機的リスク †
(能動的リスクとも言う)
為替、株価のような、
好機と脅威(利益と損失)
の両方の可能性のあるリスク。
純粋リスク †
- 脅威(損失)のみを含むリスク。
※ 好機(利益)は含まない。
直接損失 †
間接損失 †
- タイムラグの有る間接的な損失
- 業務中断、信用失墜などの収益損失
- 賠償金、罰金などの責任損失
対応損失 †
情報リスク †
間接損失の影響 †
リスク・アセスメント †
目的 †
リスク・アセスメント ≒ リスク・マネジメントの計画プロセスなので、
- 効果的な、セキュリティ対策プランを導き出す。
- 限られた予算を有効活用して、最大限の対策効果を得る。
用語 †
リスク・レベル †
リスクの大きさ
リスク基準 †
重大性を評価する条件
リスク・アセスメント †
以下の体系(≒ リスク・マネジメントの計画プロセス)
リスクが顕在化した際の対応(対応計画に従い対応)
リスク所有者 †
オーナーがアカウンタビリティ(担当、権限)を持つ。
リスク受容 †
- リスク対応の中の受容の意思決定。
- 受容後はモニタリング対象になる。
残留リスク †
- リスク対応後も残留するリスク。
- 特定されていないリスクも含む。
- 保有リスクとも呼ぶ。
リスクアセスメント手法 †
規格 †
- ISO/IEC 31010 : 2009, JIS 31010 : 2012
リスク・アセスメントの体系的技法の
選択及び適用に関する手引きを提供する。
分析方法 †
- 概要
基準やガイドラインに基づくリスク分析を行う。
- デメリット
- 大まかな分析になる。
- 主観によりバラつく。
- 質問表の品質に左右される。
- メリット
属人的なので分析者の能力が高ければ
高品質な分析結果になる。
- デメリット
属人的なので分析者の能力が低ければ
低品質な分析結果になる。
- 概要
- ベースライン・アプローチの逆の特徴。
- 所謂、リスクの定性分析と定量分析で、
情報資産、脅威、脆弱性から分析・評価を行う。
- デメリット
- 詳細な分析になる。
- 抜けや偏りがない。
- 客観的な評価が可能。
- メリット
- コスパの最大化
- 重要な情報資産については詳細に分析評価可能。
- デメリット
- 全体のベースラインで重要部分の誤認識が発生し得る。
- この、重要部分の判断次第で結果が大きく変わってしまう。
リスク分析評価手法 †
規格 †
- JRAM
日本の一般財団法人が開発したリスク分析手法
- JRMS2010
成熟度モデルのギャップ分析を導入したリスクマネジメント・システム
- CRAMM
英国のCCTAが開発したリスク分析手法&リスクマネジメント・システム
調査手法 †
- ツール
- リスク分析ツール
チェックリストのソフトウェア化
- 脆弱性調査ツール
ドキュメントレビュー法、現地調査法のソフトウェア化
評価手法 †
手順 †
リスク分析範囲の決定 †
ISMSの「ステップ1:適用範囲・境界の定義」のリスク版
- 適用範囲(組織, 情報システム, etc.)
- 境界定義(事業, 組織, 拠点, etc.)
- 最初は限定的に実施し、徐々に対象範囲を広げていく。
対象とする情報資産の種別の決定 †
情報資産の洗出し †
情報資産の分類 †
リスクの洗出し †
↓ ↓ ↓
リスクの大きさの評価 †
リスク対応 †
セキュリティ・ポリシ策定 †
セキュリティの組織体制 †
セキュリティ(情報資産の管理) †
クライアントPC †
物理的・環境的 †
物理的 †
環境的 †
人的 †
インシデント管理 †
情報セキュリティ・インシデント
監査 †
セキュリティ監査 †
システム監査 †