情報処理基礎論 a 第 10 回 (セキュリティ ) 「リスク分析」 講義ノート目次

リスク分析

1. 適用範囲の規定
2. 情報資源の洗い出し
3. 脅威分析
4. リスク評価

情報資産

企業の所有するデータベース、ソフトウェア、ハードウェアなど

脅威

情報資産に対する災害、盗難、誤動作

脆弱性

脅威に対する弱さ、 例としてセキュリティホールや見抜かれやすいパスワードなど

リスク評価

脆弱性に対し、脅威により攻撃されたときに、 システムの破壊やダウンが生じるが、 このリスクを定量的定性的に明らかにする評価方法

リスクアセスメント

情報資産のリスクのこと

情報セキュリティポリシの水準を維持する一連の管理の流れ
1. リスク処理方法の選択
2. 実施
3. 運用
4. 処理評価を評価
5. 処理評価を監査

リスク処理方法

• リスクコントロール
  • リスク回避: リスク発生の情報資源を扱わない
  • リスク分離: 損失を受ける資源を分散し損失軽減させる
  • リスク集中: 損失を受ける資源を集中し効果的なリスク処理を行う
  • リスク移転: 契約で外部の専門業者に依託する
  • 損失軽減: 損失の大きさを減らす。火災の消火器や非難訓練など
  • 損失予防: 損失の発生頻度を減らす。認証技術など
• リスクファイナンス
  リスク保有して、準備金や保険などでリスクファイナンスを図る処理方法