リスク分析とは、何を(情報資産)を何から(脅威)どのレベルで(リスクの大きさ、受容リスク)守るのかを検討することです。次ののような手順になります。
- 情報資産の調査
- まず、何を守るのかを明確にする必要があります。
それには、対象となる情報資産の対象範囲を定める必要があります。情報資産として、情報システムに関連するものだけに絞るか、文書や人などにまで広げるかという対象の範囲もありますし、全社を対象にするか、特定の事業所や部門だけを対象にするかという部門の範囲もあります。
当然ながらなるべく広い範囲にするのが理想的ですが、当初は比較的狭い範囲で実績を出し、逐次拡大するほうが現実的です。その場合でも、部分最適化にならないように、全体を把握したうえで、どこに絞るかを考えるべきです。 - 重要性の分類
- 対象となる情報資産を、機密性・完全性・可用性に基づいて分類します。
- 機密性
- 社外秘、機密:機密であり社外に漏洩してはならないもの→個人情報、営業秘密など
機密ではないが、社外に秘密にすべきもの→取引データ、社内通信記録など
部外秘:関係者以外には秘密にすべきもの→人事査定など - 完全性
- データを破壊・改ざんされると復旧が困難なもの
- 可用性
- 利用される頻度が多く、消去・紛失があると困るもの
- 脅威の調査
- 「何から守るのか」では、コンピュータ内にあるデータをインターネットからの攻撃から守るのか、書類を持ち出したときに盗難や紛失することから守るのかなど、多くの脅威を想定する必要があります。
- 対策の策定
- リスクの大きさは「発生確率×被害の大きさ」で考えます。そして、対策費用と被害損失のバランスから、どの程度の対策をとるかを検討します。
このような分析により、個々の情報資産について、誰が、何を、何から、どのような方法で守るのかを一覧表に作成します。