リスクの考え方
セキュリティにおけるリスクは計算式で把握していきます。まずは、各資産においてどの程度のリスクの可能性があるのかを把握できるようにしていきましょう。
リスクを算出する計算式
リスク = 資産価値 × 脅威 × 脆弱性 × 発生可能性
資産価値:資産が持っている、自社にとっての価値
脅威:資産を脅かすもの
脆弱性:資産を保存している環境や運用ルールに潜む弱点
発生可能性:損失を発生させる可能性
※リスク把握・検討についてはDay5・Day6に行います。
Point① リスク評価
リスクの計算式で算出した結果を評価していく必要があります。計算結果で算出された数値をもとに、リスクが高い・低いを判断し、高いものから対処していくことが一般的です。
また、簡易的な方法として、マトリックスに照らし合わせた評価方法もあります。
縦軸に影響、横軸に発生確率を置きます。
影響
重:会社の存続に影響するような大きな損失
中:事業の存続に影響するような大きな損失
軽:業務へ影響するような損失
発生確率
頻:常態的に頻発することが想定される
中:時々、発生することが想定される
稀:発生の可能性を排除できない
リスクの計算式とマトリックスを組み合わせて、各資産のリスクを把握する癖をつけることで、何からセキュリティ対応を進めていけばよいのかを判断することができます。影響度が大きく、発生確率が高いリスクに対して早急に対応を進める必要があります。優先順位付けを行い、より危険性が高いものから対応をしていきましょう。