リスクアセスメント
リスクアセスメント とは何ですか?
リスクアセスメント特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。
リスクアセスメントは、システム・業務プロセス・取引先・新規プロジェクトなど定義された範囲について、リスクの特定・分析・評価を一貫して実施する活動です。担当者は脅威情報の収集、脆弱性のマッピング、発生可能性と業務影響の見積りを行い、組織の判断基準に沿った優先度付きのリスク一覧を作成します。手法は定性的なヒートマップから、FAIR やモンテカルロのような定量的手法まで多様で、結果はリスク登録簿や対応計画に反映されます。NIST SP 800-30、ISO/IEC 27005、GDPR の DPIA、HIPAA セキュリティルールなど、規制上の要求事項にもなっています。
● 例
- 01
新しい SaaS 給与計算プラットフォームに対する NIST SP 800-30 型のアセスメント。
- 02
ISO 27001 認証審査を支える ISO 27005 ベースの年次アセスメント。
● よくある質問
リスクアセスメント とは何ですか?
特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
リスクアセスメント とはどういう意味ですか?
特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。
リスクアセスメント はどのように機能しますか?
リスクアセスメントは、システム・業務プロセス・取引先・新規プロジェクトなど定義された範囲について、リスクの特定・分析・評価を一貫して実施する活動です。担当者は脅威情報の収集、脆弱性のマッピング、発生可能性と業務影響の見積りを行い、組織の判断基準に沿った優先度付きのリスク一覧を作成します。手法は定性的なヒートマップから、FAIR やモンテカルロのような定量的手法まで多様で、結果はリスク登録簿や対応計画に反映されます。NIST SP 800-30、ISO/IEC 27005、GDPR の DPIA、HIPAA セキュリティルールなど、規制上の要求事項にもなっています。
リスクアセスメント からどのように防御しますか?
リスクアセスメント に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
リスクアセスメント の別名は何ですか?
一般的な別名: サイバーリスクアセスメント, IT リスク評価。
● 関連用語
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- compliance№ 937
リスク登録簿
識別したリスクの説明・オーナー・スコア・対応・状況を一元管理し、組織のリスクエクスポージャを継続的に追跡するための生きた台帳。
- compliance№ 888
定性的リスク分析
発生可能性と影響を、金額や確率値ではなく低・中・高や 1〜5 などの記述的な尺度で評価するリスク分析手法。
- compliance№ 889
定量的リスク分析
発生可能性と影響を確率と金銭的損失分布などの数値で表現し、データに基づく意思決定を支えるリスク分析手法。
- compliance№ 282
データ保護影響評価 (DPIA)
GDPR 第 35 条が要求する構造化評価で、高リスクな個人データ処理を開始する前に、個人の権利と自由に対するリスクを特定し低減するもの。
- appsec№ 1150
脅威モデリング
資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。
● 関連項目
- № 939リスク対応
- № 534固有リスク
- № 402FAIR(情報リスクのファクター分析)
- № 705モンテカルロ・リスクシミュレーション