リスク分析と評価―情報セキュリティリスクアセスメントの評価シートなど。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティ管理 リスク分析と評価

情報セキュリティリスクアセスメントの評価シートなど、リスク分析と評価に関連した情報をまとめています。

▲記事トップへ

目次

この記事の目次です。

1. 情報資産の重要性による分類
2. 情報セキュリティリスクアセスメント
3. 情報セキュリティリスク対応

リスク分析と評価に関連したIPA情報処理試験の過去問題
もっと知識を広げるための参考
更新履歴

1. 情報資産の重要性による分類

機密性、完全性、可用性の側面から情報資産の重要性を検討し、 情報資産を保護するために、定められた基準に基づいて情報資産を分類します。

情報資産台帳

IPA“中小企業の情報セキュリティ対策ガイドライン（第2.1版）”を参考に組織での情報資産管理台帳の記入する場合、 利用しているクラウドサービスに保存している情報資産を含めて、台帳に記入するのが適切です。

2. 情報セキュリティリスクアセスメント

リスクを特定し、そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定量的または定性的に把握して リスクレベルを決定し、組織が定めたリスク受容基準に基づく評価を行います。

リスクアセスメント

情報セキュリティにおけるリスクアセスメントでは、 識別された資産に対するリスクを分析、評価し、基準に照らして対応が必要かどうかを判断します。

リスクレベル

JIS Q 27000:2014（情報セキュリティマネジメントシステム―用語）における“リスクレベル”の定義は 「結果とその起こりやすさの組合せとして表現される、リスクの大きさ」です。

リスク所有者

JIS Q 27000:2014（情報セキュリティマネジメントシステム―用語）では、 リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体をリスク所有者と呼んでいます。

リスクアセスメントプロセス

リスクマネジメントにおける、リスクアセスメントに含まれるプロセスには、 リスク特定、リスク分析、リスク評価があります。

リスク特定

リスクアセスメントプロセスのリスク特定において特定する対象は以下です。

• リスクによって引き起こされる事象
• リスクによって引き起こされる事象の原因及び起こり得る結果
• リスクを顕在化させる可能性をもつリスク源

リスク評価

リスク評価は、「リスクとその大きさが需要可能か否かを決定するために、リスク分析の結果をリスク基準と比較するプロセス」 とJIS Q 27000:2014（情報セキュリティマネジメントシステム―用語）におけるリスク評価についての説明されています。

情報セキュリティのリスク基準

JIS Q 27001:2014（情報セキュリティマネジメントシステム―要求事項）に従ったリスク評価において、 リスク分析結果は組織の情報セキュリティのリスク基準と比較して情報セキュリティリスクが受容可能か否かの意思決定を行います。

情報セキュリティリスクアセスメントの評価シート

以下の情報セキュリティリスクアセスメントの評価シートが公開されています。

• 「制御システムのセキュリティリスク分析ガイド 第2版 ～セキュリティ対策におけるリスクアセスメントの実施と活用～」を公開

  URL）https://www.ipa.go.jp/security/controlsystem/riskanalysis.html

• 総務省の過去の各種資料

  URL）http://www.soumu.go.jp/denshijiti/02gyosei07_03000041.html

3. 情報セキュリティリスク対応

情報セキュリティリスクアセスメントの結果を考慮して、 適切な情報セキュリティリス ク対応の選択肢を選定し、その選択肢の実施に必要な管理策を決定します。

リスク回避

たとえば、「リスクレベルが大きいと評価した情報システムを用いるサービスの提供をやめる。」といった内容がリスク回避の例になります。

リスク保有

リスク保有は、リスク許容ともいい、特にリスク対策しないで「現状維持」のままにしておく方法です。 リスクがあまり大きくなく、影響力が小さい場合に用いられます。

リスク保有の例

たとえば、「インターネットからの不正アクセスがWebサーバの被害にとどまるので、LAN上の配置はDMZのままとする。」といった内容がリスク保有の例になります。

リスクファイナンスにおけるリスク保有

リスク保有は、リスクが顕在化したときに発生する損失を組織自体の財務力で負担する方法です。

例えば、準備金、積立金などの名目で自社内に不測事態対応費用を確保します。

リスクファイナンシング

リスク対応のうち、 リスクによってシステムが被害を受けた場合を想定して保険を掛けるなどすることをリスクファイナンシングといいます。

リスク受容

情報セキュリティの対策におけるリスク受容とは、特段の対応は行わずに、損害発生時の負担を想定しておくことです。

残留リスク

残留リスクについてです。

JIS Q 31000:2010における残留リスクの定義

JIS Q 31000:2010（リスクマネジメント－原則及び指針）では、残留リスクを「リスク対応後に残るリスク」と定義さしています。

リスク分析と評価に関連したIPA情報処理試験の過去問題

以下ではリスク分析と評価に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 令和元年秋 問56 リスクアセスメント―ITパスポート
• 平成30年秋 問68 情報セキュリティにおけるリスクアセスメント―ITパスポート
• 平成30年春 問61 リスク受容―ITパスポート
• 平成31年春 問05 リスクファイナンシング―情報セキュリティマネジメント試験 午前
• 平成31年春 問06 リスクレベル―情報セキュリティマネジメント試験 午前
• 平成31年春 問07 アカウンタビリティ及び権限をもつ人又は主体―情報セキュリティマネジメント試験 午前
• 平成31年春 問09 情報資産管理台帳の記入方法―情報セキュリティマネジメント試験 午前
• 平成30年春 問02 リスクの回避―情報セキュリティマネジメント試験 午前
• 平成30年春 問03 リスク評価―情報セキュリティマネジメント試験 午前
• 平成29年秋 問05 リスクアセスメントプロセス―情報セキュリティマネジメント試験 午前
• 平成29年秋 問06 リスクファイナンシング―情報セキュリティマネジメント試験 午前
• 平成29年秋 問07 リスク評価―情報セキュリティマネジメント試験 午前
• 平成29年秋 問08 リスクを運用管理することについて―情報セキュリティマネジメント試験 午前
• 平成21年度春 問60 コンピュータセキュリティのリスク対策―応用情報技術者 午前

もっと知識を広げるための参考

• 情報セキュリティ

  情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

• 2020/2/26 リスクアセスメントプロセスについて追記しました。
• 2019/8/29 情報資産の重要性による分類について追記しました。
• 2019/8/26 リスクレベルについて追記しました。
• 2019/3/22 リスク所有者について追記しました。
• 2019/3/20 リスク特定、リスクファイナンシング、リスク評価について追記しました。
• 2018/12/16 記事をUPしました。

戻る