固有リスク
固有リスク とは何ですか?
固有リスク統制や緩和策を適用する前の段階で活動や資産に存在するリスク水準であり、脅威に対する素のエクスポージャを示すもの。
固有リスクは、リスク分析の出発点であり、統制が一切存在しないと仮定したときの脅威シナリオの発生可能性と影響を表します。これにより、オンラインのカード決済受付や規制対象の医療データの保有といった事業活動が本来抱えている露出度を把握し、ポートフォリオ間で比較できます。実務者は、必要な統制投資の規模を判断したり、既存統制の設計と運用が残留リスクをアペタイトの範囲内に収めているかを評価したりするために、固有リスクを基準値として用います。ISO/IEC 27005 や COSO ERM では、統制の効果を二重計上しないよう、固有リスクと残留リスクを明確に区別します。
● 例
- 01
高トラフィックの EC プラットフォームで何百万件もの決済カードを保持することの固有リスク。
- 02
国家レベルの攻撃者にさらされる重要インフラを運用することの固有リスク。
● よくある質問
固有リスク とは何ですか?
統制や緩和策を適用する前の段階で活動や資産に存在するリスク水準であり、脅威に対する素のエクスポージャを示すもの。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
固有リスク とはどういう意味ですか?
統制や緩和策を適用する前の段階で活動や資産に存在するリスク水準であり、脅威に対する素のエクスポージャを示すもの。
固有リスク はどのように機能しますか?
固有リスクは、リスク分析の出発点であり、統制が一切存在しないと仮定したときの脅威シナリオの発生可能性と影響を表します。これにより、オンラインのカード決済受付や規制対象の医療データの保有といった事業活動が本来抱えている露出度を把握し、ポートフォリオ間で比較できます。実務者は、必要な統制投資の規模を判断したり、既存統制の設計と運用が残留リスクをアペタイトの範囲内に収めているかを評価したりするために、固有リスクを基準値として用います。ISO/IEC 27005 や COSO ERM では、統制の効果を二重計上しないよう、固有リスクと残留リスクを明確に区別します。
固有リスク からどのように防御しますか?
固有リスク に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
固有リスク の別名は何ですか?
一般的な別名: グロスリスク, 統制前リスク。
● 関連用語
- compliance№ 923
残留リスク
計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。
- compliance№ 935
リスクアセスメント
特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- compliance№ 937
リスク登録簿
識別したリスクの説明・オーナー・スコア・対応・状況を一元管理し、組織のリスクエクスポージャを継続的に追跡するための生きた台帳。
- compliance№ 888
定性的リスク分析
発生可能性と影響を、金額や確率値ではなく低・中・高や 1〜5 などの記述的な尺度で評価するリスク分析手法。
- compliance№ 889
定量的リスク分析
発生可能性と影響を確率と金銭的損失分布などの数値で表現し、データに基づく意思決定を支えるリスク分析手法。