 リスク値の算出
今回はリスク値の算出方法を紹介します。
BS7799-2:2002の要求事項では、「リスクレベルの算定」4.2.1e)3)の実施を要求しています。
前回の「評価」に続き今回もGMITS(ISO/IEC 13335-3:1998)を参考にして、紹介されているリスク値の算出例を2つ紹介します。
| |
リスク値算出方法 例1 あらかじめ定義されたリスク値のマトリックスに当てはめる |
リスク値=資産価値+(脅威レベル+脆弱性レベル)
| |
脅威レベル |
低 |
中 |
高 |
脆弱性のレベル |
低 |
中 |
高 |
低 |
中 |
高 |
低 |
中 |
高 |
資産価値 |
0 |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
1 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
2 |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
3 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
4 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
(参考ISO/IEC TR 13335 GMITS )
ここでの「資産価値」は、物理的資産であれば交換または再購入のコスト、ソフトウェア資産であれば購入または再構築へのコスト、
データであれば所有者へのインタビューで評価します。
「脅威レベル」は、脅威そのものの発生の可能性で評価し、「脆弱性レベル」は現在の管理状況の程度をレベル付けします。レベル付けされたそれぞれの評価から、このマトリクスを利用してリスク値を求めていきます。例えば、資産価値が「2」、脅威が「中」、脆弱性が「高」であれば、それらがマッチするところ、つまりリスク値は「5」であると評価できます。
0〜4や低〜高のレベルは、組織内で決めて構いませんが、誰がみてもわかるように定義づけすることが求められます。
| |
リスク値算出方法 例2 リスク度合いによる脅威をレベル付けする |
リスク値(リスク度合い)=インパクト(資産)値×脅威発生の可能性
脅威 |
インパクト(資産)値 |
脅威発生の可能性 |
リスクの度合い |
脅威の階級 |
脅威A |
5 |
2 |
10 |
2 |
脅威B |
2 |
4 |
8 |
3 |
脅威C |
3 |
5 |
15 |
1 |
脅威D |
1 |
3 |
3 |
5 |
脅威E |
4 |
1 |
4 |
4 |
脅威F |
2 |
4 |
8 |
3 |
(参考ISO/IEC TR 13335 GMITS )
「インパクト(資産)値のレベル」は、脅威が発生した場合、「組織へ与える悪影響の度合い」で評価します。情報セキュリティリスクの場合は、情報の機密性、完全性、可用性の崩壊に対するリスクを検討するために、以下のように評価するとよいでしょう。
1.情報の機密性が侵害された場合(漏えいなど)の悪影響
2.情報の完全性が侵害された場合(改ざんなど)の悪影響
3.情報の可用性が侵害された場合(利用停止など)の悪影響
また、「脅威発生の可能性」では、以下のことを考慮します。
1.脅威そのものが何も対策をしていなかった場合に起こる可能性
2.現状の対策によって、脅威が起こる可能性はどれだけあるのか
リスクレベルの算出は、GMITSの他にも定量的な方法、定性的な方法などさまざまありますが、その中でどのような方法を採択しても認証審査では問題ありません。独自で開発してもよいでしょう。もっとも重要なことは「経営者にとって重要なリスクはなにか」ということがよく把握でき、優先順位が明確にできる方法を採択することが望ましいのです。可能ならば、リスクレベルを被害金額で表現すると、経営者には重要度がわかりやすいでしょう。そうすることで、経営者がISMSの運用にかかわる機会が増え、より効果的なリスクマネジメントシステムの構築が実現できることでしょう。 |
HOME
会社概要
