Entry № 1047
リスクアセスメント
リスクアセスメント とは何ですか?
リスクアセスメント特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。
リスクアセスメントは、システム・業務プロセス・取引先・新規プロジェクトなど定義された範囲について、リスクの特定・分析・評価を一貫して実施する活動です。担当者は脅威情報の収集、脆弱性のマッピング、発生可能性と業務影響の見積りを行い、組織の判断基準に沿った優先度付きのリスク一覧を作成します。手法は定性的なヒートマップから、FAIR やモンテカルロのような定量的手法まで多様で、結果はリスク登録簿や対応計画に反映されます。NIST SP 800-30、ISO/IEC 27005、GDPR の DPIA、HIPAA セキュリティルールなど、規制上の要求事項にもなっています。
● 例
- 01
新しい SaaS 給与計算プラットフォームに対する NIST SP 800-30 型のアセスメント。
- 02
ISO 27001 認証審査を支える ISO 27005 ベースの年次アセスメント。
● よくある質問
リスクアセスメント とは何ですか?
特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
リスクアセスメント とはどういう意味ですか?
特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。
リスクアセスメント からどのように防御しますか?
リスクアセスメント に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
リスクアセスメント の別名は何ですか?
一般的な別名: サイバーリスクアセスメント, IT リスク評価。