はじめに

個別のリスクによって危険度は異なります。

リスクマネジメントとは、その個別のリスクがどれほどのものであるかを把握した上で、各対策を管理していくものになります。

これによって、リスクの高低に合わせて経営資源の配分を決定できるため、効率的なセキュリティ管理を実現できます。

今回は、そのリスクマネジメントの全体像とその一部である「リスクアセスメント」について解説をしていきます。

リスクマネジメントの全体像

リスクマネジメントは、

1. リスクがどういったものであるかを評価する「リスクアセスメント」
2. 評価されたリスクに対してどのような対策を行うかを決める「リスク対応」

の大きく２つによって構成されます。

リスクの危険度は以下の３つの要素によって求めることができます。

• 発生頻度
• 予想被害額
• 発生から導かれる結果

第１に発生頻度が多いほど、第２に被害額が高くなるほど、第３に発生後の他の被害結果の範囲が広いほど、リスクの危険度は大きくなると言えます。

この３つの要素の大きさによって、リスクの大きさも変わってくるということになります。

つまり、この３つの要素をいかに許容できる範囲内に抑えるか、がカギになってくるということです。

そのために、リスクを事前に評価しておく「リスクアセスメント」と、それぞれの評価したリスクに対策を打つ「リスク対応」を行なっていきます。

「リスクアセスメント」は、さらに「リスク分析」と「リスク評価」に細かく分かれます。それぞれについて説明をしていきます。

リスク分析

リスクアセスメントとは、

• ①現存するリスクを評価すること
• ②組織として許容できるリスクの水準を把握すること

の２つを行なった上で、①と②のギャップを知ることになります。

リスク分析の取り組み方法は、２つあります。

• ベースラインアプローチ
• 詳細リスク分析

ベースラインアプローチは、標準化された手法やツールを使うことによって、自社のリスクを評価する手法です。

この方法では、いくつか公開されたツールを使うことにより、比較的コストを下げた形でリスク分析を行うことができます。

一方で、標準化されたツールであることからも想像されるように、自社特有の組織事情を踏まえないままリスクを分析することにもなるため注意が必要です。

詳細リスク分析は、自社の業態、業務フロー、組織構造に適した形で、リスクの分析を行う手法です。

自社オリジナルのリスク分析手法を開発するため、自社のリスクを過不足なく把握することが可能になります。

一方で、リスクの分析を行うには高度なスキルを持った人材が必要であり、分析の手続きも複雑になるためコストが高くなりやすい傾向があります。

これら２つを組み合わせた複合アプローチと呼ばれる手法もあります。

最初に簡単な分析を行なった上で、重要な業務に対して詳細リスク分析を行なっていくものです。

分析に取り組む前に、自社がどれほどのコストをかけて、どれほどの水準の分析を求めるかを明確にし、どういった手法を使用するか、あるいは組み合わせるかを決定しなければなりません。

リスク評価

次のステップであるリスク評価においては、ある保護されるべき情報資産に対して、（資産価値）×（脅威レベル）×（脆弱性レベル）という３つの尺度で評価していくことになります。

そのため、前段階として、資産価値、脅威レベル、脆弱性レベルの３つの尺度を算出する必要があります。

資産価値の算出は、機密性、完全性、可用性の３つの観点によって行われます。

例えば、企業の存続に関わる重大な損失につながるものであれば３点、ともなう業務停止が長期間であれば２点、短期間であれば１点、処理効率が悪化するものであれば１点という形で、その資産の影響によって点数を付けていきます。

脅威の特定と算出は、特定した情報資産に対する脅威を明確にしていきます。

この際には、発生頻度の多さと業務への影響の大きさによって脅威の大きさを判定していきます。

例えば、落電は頻度としては多くはありませんが、不正アクセスは頻度として場合によっては多いといった違いがあります。

脆弱性の特定と算出も、脅威に対する考え方と同様です。例えば、記録文書を保存しておくロッカーであれば、整理されていないことと鍵がかかっていないことでは脆弱性に差があります。鍵がかかっていないことの方が脆弱性は高いと言えます。

以上、資産価値、脅威レベル、脆弱性レベルの３つの尺度を明らかにした上で、各情報資産の脅威と脆弱性に点数を付けていきます。

点数を付けたものを表に配置していくことにより、どのリスクが会社として対策を打つ優先順位の高いものであるかが明らかになります。

まとめ

以下、まとめになります。

• 発生頻度、予想被害額、発生後の被害という危険度の３つの要素をいかに許容できる範囲内に抑えるか、がカギになってくる。
• そのために、リスクを事前に評価しておく「リスクアセスメント」と、それぞれの評価したリスクに対策を打つ「リスク対応」の２つを行う。
• リスクアセスメントは、「リスク分析」と「リスク評価」に分かれる。
• リスク分析の手法には、ベースラインアプローチと詳細リスク分析があり、どれほどの精度とコストを求めるかによって、手法の組み合わせが異なる。
• リスク評価は、（資産価値）×（脅威レベル）×（脆弱性レベル）という３つの尺度で評価し、各資産のリスクを明らかにして、優先順位をつける。

今回は、リスクマネジメントの基本として、リスクアセスメントについて解説をしていきました。基本的な考え方であるため、自社のリスク評価がどのようにされているのかを振り返る上で、参考になったら幸いです。また、アセスメントに便利な基準やツールなどもありますが、それは別の機会にて紹介をしていきます。