📌 結論から理解する
リスク=「損害が起きる可能性」を数値化・評価する概念
リスクとは、脅威が情報資産の脆弱性をついて損害をもたらす可能性(確率)と影響の大きさの組み合わせです。
「危ないかもしれない」だけでは管理できません。リスクを定量化・定性化することで、「どこから手を付けるか」が決まります。
試験では「リスクの計算式」「リスクレベルの判定」「残余リスク」が頻出です。
リスクの計算式(考え方)
リスクの大きさ
リスク = 発生可能性(Likelihood)× 影響度(Impact)
≒ 脅威レベル × 脆弱性の深刻さ × 情報資産の価値
例:
・発生可能性:高い(攻撃者が増えている)
・影響度:大きい(顧客情報10万件が流出する)
→ リスクレベル:非常に高い → 優先対策が必要
・発生可能性:高い(攻撃者が増えている)
・影響度:大きい(顧客情報10万件が流出する)
→ リスクレベル:非常に高い → 優先対策が必要
リスクの評価方法
定量的評価
リスクを金額・確率などの数値で表す方法。
例:「年間期待損失額(ALE)=損失額×発生確率」
客観的だが、データ収集が難しい。
例:「年間期待損失額(ALE)=損失額×発生確率」
客観的だが、データ収集が難しい。
定性的評価
リスクを「高・中・低」などの段階で表す方法。
例:リスクマトリクスで分類する。
実施しやすいが主観が入りやすい。
例:リスクマトリクスで分類する。
実施しやすいが主観が入りやすい。
リスクマトリクスの例
| 影響度\発生可能性 | 低 | 中 | 高 |
|---|---|---|---|
| 大 | 中 | 高 | 最高 |
| 中 | 低 | 中 | 高 |
| 小 | 最低 | 低 | 中 |
固有リスクと残余リスク
固有リスク(Inherent Risk)
対策を何も講じていない場合のリスクの大きさ。「素のリスク」。
↓ 対策を実施
残余リスク(Residual Risk)
対策を講じた後も残る、完全には排除できないリスク。
「ゼロリスクは不可能」という前提で、残余リスクを許容水準以下にすることが目標。
「ゼロリスクは不可能」という前提で、残余リスクを許容水準以下にすることが目標。
「対策後も残るリスク=残余リスク」。この概念がリスク受容の判断基準になります。
リスクアペタイト・リスク許容度
- リスクアペタイト:組織が目標達成のために受け入れるリスクの種類と量の方針
- リスク許容度:許容できるリスクの上限レベル。これを超えたリスクは対策必須
- 経営層がリスクアペタイトを決定し、それに基づいてリスク管理を行う
リスクとインシデントの違い
⚠️
リスク
まだ起きていない
損害が発生する可能性
損害が発生する可能性
💥
インシデント
すでに起きた
セキュリティ上の事故・問題
セキュリティ上の事故・問題
リスクとインシデントは別物。リスク管理はインシデント「を防ぐ」ための活動。インシデント管理は起きた「後の対応」です。
🧠 確認クイズ
Q1. リスクの大きさを求める基本的な考え方として正しいのは?
Q2. 残余リスクの説明として正しいのは?
Q3. リスクの定性的評価の説明として正しいのは?