- 追加された行はこの色です。
- 削除された行はこの色です。
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>SC:試験]]
*目次 [#l2eb6a8e]
#contents
*概要 [#rc92de33]
*概要 [#d8240f57]
プロセスは、[[PMPのリスク・マネジメント>PMP:共通#oa93a230]]とほぼ同じ。
*概念 [#j0f35c00]
**[[リスク・アセスメント>#hedeb6f2]] [#t79bbe09]
≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]のリスク対応計画以前
**[[リスク対応方法の洗出>#w88dcbde]] [#i53c6e3b]
≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]のリスク対応計画
**[[リスク対応の実施>#ta0a0ad8]] [#x366c3e9]
≒ [[リスク・マネジメントの実行プロセス>PMP:実行 - その他#x72fb5f4]]
**リスク及び[[リスク対応>#w3d2c423]]方法の見直し [#s4b01378]
≒ [[リスク・マネジメントの監視・制御プロセス>PMP:監視・制御 - その他#h78528af]]
*リスクの概念 [#j0f35c00]
リスク=不確実性
**投機的リスク [#ab5d3944]
(能動的リスクとも言う)
為替、株価のような、
>好機と脅威(利益と損失)
の両方の可能性のあるリスク。
**純粋リスク [#i7ee38be]
-脅威(損失)のみを含むリスク。~
※ 好機(利益)は含まない。
-純粋リスクによる損失の種類
***直接損失 [#f4a228ec]
-タイムラグの無い直接的な損失
-資産損失、人的損失
***間接損失 [#f42ded56]
-タイムラグの有る間接的な損失
-業務中断、信用失墜などの収益損失
-賠償金、罰金などの責任損失
***対応損失 [#v8207836]
-後処理に掛るコスト等
-復旧や再発防止の費用
**情報リスク [#w94b0194]
-情報セキュリティに関するリスク。
-[[投機的リスク>#ab5d3944]]、[[純粋リスク>#i7ee38be]]のうちの[[純粋リスク>#i7ee38be]]が対象。
***[[構成要素>SC:脆弱性#l9ba6f71]] [#rf01f619]
-情報資産
-脅威
-脆弱性
***間接損失の影響 [#zee8add4]
-予測し難い。
-損失が大きい。
*リスク・アセスメント [#hedeb6f2]
**目的 [#m2ba43dc]
リスク・アセスメント ≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]なので、
-効果的な、セキュリティ対策プランを導き出す。
-限られた予算を有効活用して、最大限の対策効果を得る。
**用語 [#i34cef6d]
***リスク・レベル [#a41e9a60]
リスクの大きさ
***リスク基準 [#f9a7056c]
重大性を評価する条件
***リスク・アセスメント [#f8e08b0c]
以下の体系(≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]])
-[[リスク特定>PMP:計画 - リスク#ib52a894]]
-[[リスク分析(定性分析)>PMP:計画 - リスク#i6cab6a9]]
-[[リスク評価(定量分析)>PMP:計画 - リスク#t0cdf89c]]
***[[リスク対応>PMP:実行 - その他#x72fb5f4]] [#p0d9b03f]
***[[リスク対応>#w3d2c423]] [#p0d9b03f]
リスクが顕在化した際の対応([[対応計画>PMP:計画 - リスク#x654cb60]]に従い対応)
***リスク所有者 [#x1205a90]
オーナーがアカウンタビリティ(担当、権限)を持つ。
***リスク受容 [#k42a2d09]
-リスク対応の中の受容の意思決定。
-[[リスク対応>#p0d9b03f]]の中の受容の意思決定。
-受容後はモニタリング対象になる。
***残留リスク [#m98daaae]
-リスク対応後も残留するリスク。
-[[リスク対応>#p0d9b03f]]後も残留するリスク。
-特定されていないリスクも含む。
-保有リスクとも呼ぶ。
-残余リスク、保有リスクとも呼ぶ。
**リスクアセスメント手法 [#d6ddb138]
***規格 [#rb0b795e]
-ISO/IEC 31010 : 2009, JIS 31010 : 2012~
リスク・アセスメントの体系的技法の~
選択及び適用に関する手引きを提供する。
***ベースライン・アプローチ [#l376e9b8]
***分析方法 [#bc792299]
-ベースライン・アプローチ
--概要~
-概要~
基準やガイドラインに基づくリスク分析を行う。
--メリット
---特別なスキルは不要
---時間やコストが少なくて済む。
-メリット
--特別なスキルは不要
--時間やコストが少なくて済む。
--デメリット
---大まかな分析になる。
---主観によりバラつく。
---質問表の品質に左右される。
-デメリット
--大まかな分析になる。
--主観によりバラつく。
--質問表の品質に左右される。
-非公式アプローチ
***非公式アプローチ [#f0671322]
--概要~
-概要~
知識と経験に基づくリスク分析を行う。
--メリット~
-メリット~
属人的なので分析者の能力が高ければ~
高品質な分析結果になる。
--デメリット~
-デメリット~
属人的なので分析者の能力が低ければ~
低品質な分析結果になる。
-詳細リスク分析
***詳細リスク分析 [#w18bac8f]
--概要
---ベースライン・アプローチの逆の特徴。
---所謂、リスクの[[定性分析>PMP:計画 - リスク#i6cab6a9]]と[[定量分析>PMP:計画 - リスク#t0cdf89c]]で、~
-概要
--ベースライン・アプローチの逆の特徴。
--所謂、リスクの[[定性分析>PMP:計画 - リスク#i6cab6a9]]と[[定量分析>PMP:計画 - リスク#t0cdf89c]]で、~
情報資産、脅威、脆弱性から分析・評価を行う。
--メリット
---特別なスキルが必要
---時間やコストが必要
-メリット
--特別なスキルが必要
--時間やコストが必要
--デメリット
---詳細な分析になる。
---抜けや偏りがない。
---客観的な評価が可能。
-デメリット
--詳細な分析になる。
--抜けや偏りがない。
--客観的な評価が可能。
-組合せアプローチ
***組合せアプローチ [#y8952d60]
--概要
---全体をベースライン
---重要部分を詳細リスク分析で
-概要
--全体をベースライン分析で
--重要部分を詳細リスク分析で
--メリット
---コスパの最大化
---重要な情報資産については詳細に分析評価可能。
-メリット
--コスパの最大化
--重要な情報資産については詳細に分析評価可能。
--デメリット
---全体のベースラインで重要部分の誤認識が発生し得る。
---この、重要部分の判断次第で結果が大きく変わってしまう。
-デメリット
--全体のベースラインで重要部分の誤認識が発生し得る。
--この、重要部分の判断次第で結果が大きく変わってしまう。
**リスク分析評価手法 [#r5212fb6]
***規格 [#r3b07eed]
-JRAM / JRMS2010~
--JRAM~
日本の一般財団法人が開発したリスク分析手法
--JRMS2010~
成熟度モデルのギャップ分析を導入したリスクマネジメント・システム
-CRAMM~
英国のCCTAが開発したリスク分析手法&リスクマネジメント・システム
***調査手法 [#q37676f2]
***分析手法 [#q37676f2]
-対人
--アンケート法
--チェックリスト法
--インタビュー法
-対物
--ドキュメントレビュー法
--現地調査法
-ツール
--リスク分析ツール~
チェックリストのソフトウェア化
--脆弱性調査ツール~
ドキュメントレビュー法、現地調査法のソフトウェア化
***評価手法 [#k67e978f]
-[[定性分析>PMP:計画 - リスク#i6cab6a9]]
-[[定量分析>PMP:計画 - リスク#t0cdf89c]]
**手順 [#pf773295]
***リスク分析範囲の決定 [#v1ccd254]
ISMSの「ステップ1:適用範囲・境界の定義」のリスク版
-適用範囲(組織, 情報システム, etc.)
-境界定義(事業, 組織, 拠点, etc.)
-最初は限定的に実施し、徐々に対象範囲を広げていく。
***対象とする情報資産の種別の決定 [#t9b954be]
-電子化された情報
-紙媒体も含めた情報資産
***情報資産の洗出し [#na50d7cc]
***情報資産の洗出 [#na50d7cc]
***情報資産の分類 [#vfa12674]
***[[脅威>SC:脅威]]の洗出し [#je0c007b]
***[[脅威>SC:脅威]]の洗出 [#je0c007b]
***[[脆弱性>SC:脆弱性]]の洗出し [#t286487a]
***[[脆弱性>SC:脆弱性]]の洗出 [#t286487a]
***リスクの洗出し [#fba1e92d]
-[[構成要素>#rf01f619]]
--情報資産
--脅威
--脆弱性
***リスクの洗出 [#fba1e92d]
-リスクの洗出し。
--[[構成要素>#rf01f619]]
---情報資産
---脅威
---脆弱性
>↓ ↓ ↓
-具体的なリスクの影響
--具体的なリスクの影響
-以下の様な表を使用する。
|#|情報資産|脅威|脆弱性|想定されるリスク|h
|1|...|設備 ▼|▼ 災害|...|
|2|...|技術 ◀|▶ 障害|...|
|3|...|管理 ▲|▲ 人的|...|
***リスクの大きさの評価 [#qa68de0b]
-定性~
以下の様な表を使用する。
|>|情報資産|>|脅威|脆弱性&br;レベル|>|>|想定されるリスク|h
|名称|レベル|内容|レベル|~|機密性|完全性|可用性|h
|xxx|・機密性:a&br;・完全性:b&br;・可用性:c|yyy|x|y|axy|bxy|cxy|
-定量
--直接損失
---資産損失
--間接損失
---賠償金
---機会損失
---信用低下による損失
--対応費用
---損失資産の再購入
---復旧に伴う人件費
---セキュリティ対策瀬品の購入費用
--リスク顕在化頻度(回/年)
--リスク強度(年間損失額)~
=(直接損失+間接損失+対応費用)*リスク顕在化頻度
*リスク対応 [#w3d2c423]
**リスク対応方法の洗出 [#w88dcbde]
[[純粋リスク>#i7ee38be]](脅威)に対する[[戦略>PMP:計画 - リスク#f24c0508]]には以下のモノがる。
***戦略 [#j793240c]
-回避
--[[リスク・コントロール>#eb27cd77]]
--[[リスク・ファイナンシング>#z01ad014]]
-転嫁~
特に、保険と契約が代表的
--[[リスク・コントロール>#eb27cd77]]
--[[リスク・ファイナンシング>#z01ad014]]
-低減~
回避しきれない場合は低減という対策になる。
--[[リスク・コントロール>#eb27cd77]]
--[[リスク・ファイナンシング>#z01ad014]]
-受容~
回避・低減の[[残留リスク>#m98daaae]]の受容と、~
なにもしないで受容のパターンがある。
-エスカレーション
***リスク・コントロール [#eb27cd77]
-対応手法
--回避~
根本原因の排除
--低減
---損失予防~
発生頻度を減らす対応
---損失軽減~
発生時の影響を小さくする対応
---リスク分離(分割)~
情報資産など影響を受ける対象の分割(≒損失軽減)
---リスク集中(結合)~
情報資産など影響を受ける対象の結合(+損失予防)
--転嫁(移転)~
特に、保険と契約が代表的
-具体例
--物理的対策
--技術的対策
--運用管理的対策
>※ 脆弱性に対する対応。
***リスク・ファイナンシング [#z01ad014]
-[[評価した損失や対応の諸費用>#qa68de0b]]を確保しておく。
-また、転嫁のための保険もリスク・ファイナンシングに含まれる。
**リスク対応の実施 [#ta0a0ad8]
*セキュリティ・ポリシ策定 [#c98f4517]
**概要 [#w8cde7fc]
***効果 [#bc4795ca]
***基本構成 [#ud890f87]
***効果 [#yb9f1b32]
**留意事項 [#a73c2386]
***[[組織体制>#ed4fa7c1]] [#k7277507]
例(...の責任者)
-情報システム部門
--システム部門
--ネットワーク部門
-監査部門
-法務部門
-人事部門
-教育部門
-営業部門
-事業部門
-広報部門
***外部専門家の活用 [#d7f59915]
-弁護士
-サイバーセキュリティ
-情報セキュリティの
--コンサルタント(指揮統制)
---規格、制度
---リスク・アセスメント
---内部統制
--アナリスト(分析実務)
---最新動向
---他社の実情
***各種明確化 [#wfc44bff]
-情報資産
-適用対象者
-目的と罰則
-主体と表現
-運用方法
-情報資産
-情報資産
-情報資産
*セキュリティの組織体制 [#ed4fa7c1]
*セキュリティ(情報資産の管理) [#w6fb1de2]
**クライアントPC [#dc9894f1]
**物理的・環境的 [#yed3c0a4]
***物理的 [#fc669131]
***環境的 [#m811d885]
**人的 [#tb47f3b6]
*インシデント管理 [#g9bcb661]
情報セキュリティ・インシデント
*監査 [#l4abc1ee]
**セキュリティ監査 [#mde57cd4]
**システム監査 [#odc95470]
*規格 [#ca4a047f]
**リスク・マネジメント [#f53c6f9c]
-ISO/IEC 31000 : 2018, JIS 31000 : 2010~
PDCAによる継続的改善のフレームワーク
**リスク・アセスメント [#rb0b795e]
-ISO/IEC 31010 : 2009, JIS 31010 : 2012~
リスク・アセスメントの体系的技法の~
選択及び適用に関する手引きを提供する。
**リスク分析評価手法 [#r5212fb6]
***JRAM / JRMS2010 [#i6a2bf2a]
日本の一般財団法人JIPDECが開発した~
リスク分析手法、リスクマネジメントシステム
-JRAM : JIPDEC Risk Analysis Method 2002~
リスク分析手法
-JRMS2010 : JIPDEC Risk Management System~
リスクマネジメントシステム~
1992に発行、ISO31000:2009を取り入れ、~
成熟度モデル、ギャップ分析の手法を導入。
***CRAMM [#b4d290d2]
-CRAMM:CCTA Risk Analysis Management Methodology
-英国のCCTAが開発したリスク分析手法&リスクマネジメント・システム