簡単に導入できるリスク評価フレームワークコンサル抜きでも可能

自社の情報資産を保護するためには、何らかのリスク評価を実施するべきだ。中堅企業向けの簡易版リスク評価プロセスを紹介する。

2008年10月07日 08時00分 公開
[Joel Dubin,TechTarget]

 リスク評価それ自体はもちろんのこと、リスク評価フレームワークのコンセプトでさえも中堅企業にとっては不要だと思っているかもしれない。しかしリスクを評価するというコンセプトは、あらゆる規模の企業にとってITセキュリティの核となるものだ。自社の情報資産を保護することに関心を抱いている中堅企業(言い換えればあらゆる中堅企業)は、何らかのリスク評価を実施する必要がある。たとえそれが、少人数のスタッフ向けに作成された簡易型フレームワークだとしてもだ。

 うれしいことに、リスク評価フレームワークは無料だ。Webから容易にダウンロードし、自由に印刷して検討できる。これらは難解な文書で、コンサルタントの助けを借りなければリスク評価フレームワークを導入できないと思うかもしれないが、実際には必ずしもそうではない。どれほど複雑なフレームワークであっても、中堅企業が導入できる形に簡素化するためのベストプラクティスが存在するからだ。

 リスク評価の目標は、ITインフラの各要素におけるITセキュリティリスクに優先順位を付けることだ。リスクの優先順位がなければ、企業は最大のリスクに対するコントロールに必要な予算を効果的に割り振ることができない。その結果、過大なコントロールや不必要なコントロールに費用を掛け過ぎたり、それとは逆に、悪質な攻撃にさらされているシステムを放置するといったことになってしまうのだ。予算に制約がある中堅企業にとって最大の問題はコストだ。経営幹部にとって高価に思えたり、難解に感じられたりするセキュリティシステムの場合は、なおさらそうだ。

 また、リスクの優先順位付けを行うことにより、不正利用や攻撃のリスクが低いシステムはどれかを特定して過度のセキュリティ対策を避ける一方で、高いリスクにさらされ、強力な防御を必要とするシステムを特定できる。リスク評価フレームワークは何種類か存在するが、業界ベンチマークはNIST(米国立標準技術研究所)から提供されている。

 NISTが発行している「Special Publication 800-100, Information Security Handbook: A Guide for Managers」には、リスク評価プロセスにおける4つのステップが示されている。SP800-100を基本とした中堅企業向けの簡易版リスク評価プロセスを以下に記す。

ITmedia マーケティング新着記事

news079.jpg

狙うは「銀髪経済」 中国でアクティブシニア事業を展開する企業とマイクロアドが合弁会社を設立
マイクロアドは中国の上海東犁と合弁会社を設立。中国ビジネスの拡大を狙う日本企業のプ...

news068.jpg

社会人1年目と2年目の意識調査2024 「出世したいと思わない」社会人1年生は44%、2年生は53%
ソニー生命保険が毎年実施している「社会人1年目と2年目の意識調査」の2024年版の結果です。

news202.jpg

KARTEに欲しい機能をAIの支援の下で開発 プレイドが「KARTE Craft」の一般提供を開始
サーバレスでKARTEに欲しい機能を、AIの支援の下で開発できる。