東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

リスクアセスメントを行う

リスクアセスメントとは、リスクを分析して評価することです。リスクアセスメントを行うことで、組織やシステムに内在するリスクの大きさや影響度を知ることができます。リスクアセスメントには下記のようなアプローチを行います。

詳細リスク分析

分析対象のシステム自体に対して、そのシステムもしくはそれにより実現されている事業を、「重要度」(あるいは損なわれた場合の被害レベル)「脅威」「脆弱性」の評価指標の下で、リスク分析を実施します。

ベースラインアプローチ

既存の標準や基準をもとに、想定する典型的なシステムに対して、予め一定の確保すべきセキュリティレベルを設定し、それを達成するためのセキュリティ対策要件を定め、分析対象となるシステムの対策の適合性等をチェックします。

非形式的アプローチ

組織や担当者の経験や判断によってリスク分析を実施します。

組み合わせアプローチ

複数のアプローチを併用し、作業の効率化、異なった評価視点の活用によって、分析精度の向上と、作業工数増大の回避を図ります。

手法 長所 短所
詳細リスク分析
  1. 正確なリスク分析が可能
  2. 一度実施すると、ベースとして継続的にセキュリティレベル向上が可能
  3. セキュリティ投資の優先順位等、組織として戦略的に検討していくことができる
  1. 規模や手法によっては、かなりの工数がかかる
ベースラインアプローチ
  1. 決められた対策要件をチェックするため、作業工数が小さい
  2. 既存の基準としレベルの評価をするため、目安としては利用できる
  1. 基準への適合具合のチェックであり、自社のシステムの状況に沿ったリスク分析にならない場合がある
  2. 事業被害を起こさない裏づけには間接的にしかならない
  3. 自社のシステムに沿った選択基準が得られない可能性がある
非形式的アプローチ
  1. 経験値を活用するので、属人的ではあるが工数は小さい
  1. 厳密にはリスク分析にならない
  2. 起こりうる脅威、あるいは新たな脅威に対しての対応が困難である
  3. 属人的であり、継続的なセキュリティレベルの向上は困難である
組み合わせアプローチ
  1. 上記、各手法の長所の取り込みが可能
  2. 上記、各手法の短所の改善が可能
  1. どう組み合わせるのか、それぞれのシステムや事業者によって異なってくるが、その指針は示されていない


出典:情報処理推進機構(IPA)
「制御システムのセキュリティリスク分析ガイド第2版」をもとに作成
https://www.ipa.go.jp/files/000080712.pdf