東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

資産・脅威・脆弱性とリスク

資産価値を変えることはできませんが、そもそもその資産が必要なものかを検討することはできます。過剰な資産を持たない、取得しないということもリスク回避の方法です。

資産・脅威・脆弱性とリスクの関係性

資産・脅威・脆弱性とリスクの関係性

リスク = 資産価値 × 脅威 × 脆弱性 × 発生可能性

どんなに脅威、脆弱性、発生可能性が高くても、資産価値が無ければリスクにはなりえません。逆に、どんなに資産価値が高くても、発生可能性が無ければリスクにはなりえません。これらの計算値においてリスク対応をしていくことが重要です。

資産価値 すぐには変わらない特性があり、企業活動を維持するためには、資産を破棄することは難しい。ただし、不要な資産を持つと流出リスクを高める結果となる。
脅威 自社で影響を少なくすることは難しく、脅威は存在すると思って対策を立てる必要がある。
脆弱性 自社に存在する脆弱性のため、自社の対応により少なくすることができる。この脆弱性を少なくする行為がリスク低減策の一つとなる。ただし、時間とともに脆弱性がかわる、新たに発見されるケースがあるため、定期的な見直しが必要である。
発生可能性 損害等が起こる発生の可能性。外部からの攻撃だけでなく、社内での紛失なども考慮する必要がある。
発生の可能性を減らすこともリスク低減策の一つである。