「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:試験]] *目次 [#l2eb6a8e] #contents *概要 [#rc92de33] *概念 [#j0f35c00] リスク=不確実性 **投機的リスク [#ab5d3944] (能動的リスクとも言う) 為替、株価のような、 >好機と脅威(利益と損失) の両方の可能性のあるリスク。 **純粋リスク [#i7ee38be] -脅威(損失)のみを含むリスク。~ ※ 好機(利益)は含まない。 -純粋リスクによる損失の種類 ***直接損失 [#f4a228ec] -タイムラグの無い直接的な損失 -資産損失、人的損失 ***間接損失 [#f42ded56] -タイムラグの有る間接的な損失 -業務中断、信用失墜などの収益損失 -賠償金、罰金などの責任損失 ***対応損失 [#v8207836] -後処理に掛るコスト等 -復旧や再発防止の費用 **情報リスク [#w94b0194] -情報セキュリティに関するリスク。 ***[[構成要素>SC:脆弱性#l9ba6f71]] [#rf01f619] -情報資産 -脅威 -脆弱性 ***間接損失の影響 [#zee8add4] -予測し難い。 -損失が大きい。 *リスク・アセスメント [#hedeb6f2] **目的 [#m2ba43dc] リスク・アセスメント ≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]なので、 -効果的な、セキュリティ対策プランを導き出す。 -限られた予算を有効活用して、最大限の対策効果を得る。 **用語 [#i34cef6d] ***リスク・レベル [#a41e9a60] リスクの大きさ ***リスク基準 [#f9a7056c] 重大性を評価する条件 ***リスク・アセスメント [#f8e08b0c] 以下の体系(≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]) -[[リスク特定>PMP:計画 - リスク#ib52a894]] -[[リスク分析(定性分析)>PMP:計画 - リスク#i6cab6a9]] -[[リスク評価(定量分析)>PMP:計画 - リスク#t0cdf89c]] ***[[リスク対応>PMP:実行 - その他#x72fb5f4]] [#p0d9b03f] リスクが顕在化した際の対応([[対応計画>PMP:計画 - リスク#x654cb60]]に従い対応) ***リスク所有者 [#x1205a90] オーナーがアカウンタビリティ(担当、権限)を持つ。 ***リスク受容 [#k42a2d09] -リスク対応の中の受容の意思決定。 -受容後はモニタリング対象になる。 ***残留リスク [#m98daaae] -リスク対応後も残留するリスク。 -特定されていないリスクも含む。 -保有リスクとも呼ぶ。 **リスクアセスメント手法 [#d6ddb138] ***規格 [#rb0b795e] -ISO/IEC 31010 : 2009, JIS 31010 : 2012~ リスク・アセスメントの体系的技法の~ 選択及び適用に関する手引きを提供する。 ***分析方法 [#bc792299] -ベースライン・アプローチ --概要~ 基準やガイドラインに基づくリスク分析を行う。 --メリット ---特別なスキルは不要 ---時間やコストが少なくて済む。 --デメリット ---大まかな分析になる。 ---主観によりバラつく。 ---質問表の品質に左右される。 -非公式アプローチ --概要~ 知識と経験に基づくリスク分析を行う。 --メリット~ 属人的なので分析者の能力が高ければ~ 高品質な分析結果になる。 --デメリット~ 属人的なので分析者の能力が低ければ~ 低品質な分析結果になる。 -詳細リスク分析 --概要 ---ベースライン・アプローチの逆の特徴。 ---所謂、リスクの[[定性分析>PMP:計画 - リスク#i6cab6a9]]と[[定量分析>PMP:計画 - リスク#t0cdf89c]]で、~ 情報資産、脅威、脆弱性から分析・評価を行う。 --メリット ---特別なスキルが必要 ---時間やコストが必要 --デメリット ---詳細な分析になる。 ---抜けや偏りがない。 ---客観的な評価が可能。 -組合せアプローチ --概要 ---全体をベースライン ---重要部分を詳細リスク分析で --メリット ---コスパの最大化 ---重要な情報資産については詳細に分析評価可能。 --デメリット ---全体のベースラインで重要部分の誤認識が発生し得る。 ---この、重要部分の判断次第で結果が大きく変わってしまう。 **リスク分析評価手法 [#r5212fb6] ***規格 [#r3b07eed] -JRAM / JRMS2010~ --JRAM~ 日本の一般財団法人が開発したリスク分析手法 --JRMS2010~ 成熟度モデルのギャップ分析を導入したリスクマネジメント・システム -CRAMM~ 英国のCCTAが開発したリスク分析手法&リスクマネジメント・システム ***調査手法 [#q37676f2] -対人 --アンケート法 --チェックリスト法 --インタビュー法 -対物 --ドキュメントレビュー法 --現地調査法 -ツール --リスク分析ツール~ チェックリストのソフトウェア化 --脆弱性調査ツール~ ドキュメントレビュー法、現地調査法のソフトウェア化 ***評価手法 [#k67e978f] -[[定性分析>PMP:計画 - リスク#i6cab6a9]] -[[定量分析>PMP:計画 - リスク#t0cdf89c]] **手順 [#pf773295] ***リスク分析範囲の決定 [#v1ccd254] ISMSの「ステップ1:適用範囲・境界の定義」のリスク版 -適用範囲(組織, 情報システム, etc.) -境界定義(事業, 組織, 拠点, etc.) -最初は限定的に実施し、徐々に対象範囲を広げていく。 ***対象とする情報資産の種別の決定 [#t9b954be] -電子化された情報 -紙媒体も含めた情報資産 ***情報資産の洗出し [#na50d7cc] ***情報資産の分類 [#vfa12674] ***[[脅威>SC:脅威]]の洗出し [#je0c007b] ***[[脆弱性>SC:脆弱性]]の洗出し [#t286487a] ***リスクの洗出し [#fba1e92d] -[[構成要素>#rf01f619]] --情報資産 --脅威 --脆弱性 >↓ ↓ ↓ -具体的なリスクの影響 ***リスクの大きさの評価 [#qa68de0b] *リスク対応 [#w3d2c423] *セキュリティ・ポリシ策定 [#c98f4517] *セキュリティの組織体制 [#ed4fa7c1] *セキュリティ(情報資産の管理) [#w6fb1de2] **クライアントPC [#dc9894f1] **物理的・環境的 [#yed3c0a4] ***物理的 [#fc669131] ***環境的 [#m811d885] **人的 [#tb47f3b6] *インシデント管理 [#g9bcb661] 情報セキュリティ・インシデント *監査 [#l4abc1ee] **セキュリティ監査 [#mde57cd4] **システム監査 [#odc95470]