東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

リスクとは

セキュリティでは、資産が持つ価値に対して、どのような脅威が存在しているのか、どの程度脆弱性を保有しているのかを把握すること、つまり、リスクを把握することが重要です。

リスクとは

もっと詳しく!

  1. リスクは、起こり得る“事象”、“結果”、またはこれらの組合せについて述べることによって、その特徴を示すことが多いです。
  2. リスクは、ある“事象”(その周辺状況の変化を含む。)の結果とその発生の“起こりやすさ”との組合せとして表現されることが多いです。
  3. 情報セキュリティリスクは、情報セキュリティ目的に対する不確かさの影響として表現することがあります。
  4. 情報セキュリティリスクは、脅威が情報資産の脆弱性または情報資産グループの脆弱性に付け込み、その結果、組織に損害を与える可能性に伴って生じます。

※リスク把握・検討についてはDay5に行います。

One point

リスクとは、『目的に対する不確かさの影響』とされていますが、セキュリティにおける影響でより注意が必要なのは、好ましくない方向に乖離することです。マイナス影響を受けてしまうと、損害などが発生する可能性があります。 しかし、影響が出ないように注意しようにも、これはセキュリティに限った話ではなく、予期しない影響は必ず発生するものです。このために、『予期しない場合(想定外)を想定した対応』を検討する必要性も出てきます。
想定外の事象が発生したときにどのような対応を取ることがよいかを事前に考えておくことによって、事象が発生した際にも慌てずに対処ができます。難しいのは、どの対処を想定して準備しておけばよいのかということです。
残念ながらこの答えの正解は一つではありません。企業がそれぞれ違うように、答えもそれぞれ違います。まずは、自社の守るべき資産を把握し、脅威や脆弱性を理解し、対策を検討していきましょう。