簡単に導入できるリスク評価フレームワークコンサル抜きでも可能

自社の情報資産を保護するためには、何らかのリスク評価を実施するべきだ。中堅企業向けの簡易版リスク評価プロセスを紹介する。

2008年10月07日 08時00分 公開
[Joel Dubin,TechTarget]

 リスク評価それ自体はもちろんのこと、リスク評価フレームワークのコンセプトでさえも中堅企業にとっては不要だと思っているかもしれない。しかしリスクを評価するというコンセプトは、あらゆる規模の企業にとってITセキュリティの核となるものだ。自社の情報資産を保護することに関心を抱いている中堅企業(言い換えればあらゆる中堅企業)は、何らかのリスク評価を実施する必要がある。たとえそれが、少人数のスタッフ向けに作成された簡易型フレームワークだとしてもだ。

 うれしいことに、リスク評価フレームワークは無料だ。Webから容易にダウンロードし、自由に印刷して検討できる。これらは難解な文書で、コンサルタントの助けを借りなければリスク評価フレームワークを導入できないと思うかもしれないが、実際には必ずしもそうではない。どれほど複雑なフレームワークであっても、中堅企業が導入できる形に簡素化するためのベストプラクティスが存在するからだ。

 リスク評価の目標は、ITインフラの各要素におけるITセキュリティリスクに優先順位を付けることだ。リスクの優先順位がなければ、企業は最大のリスクに対するコントロールに必要な予算を効果的に割り振ることができない。その結果、過大なコントロールや不必要なコントロールに費用を掛け過ぎたり、それとは逆に、悪質な攻撃にさらされているシステムを放置するといったことになってしまうのだ。予算に制約がある中堅企業にとって最大の問題はコストだ。経営幹部にとって高価に思えたり、難解に感じられたりするセキュリティシステムの場合は、なおさらそうだ。

 また、リスクの優先順位付けを行うことにより、不正利用や攻撃のリスクが低いシステムはどれかを特定して過度のセキュリティ対策を避ける一方で、高いリスクにさらされ、強力な防御を必要とするシステムを特定できる。リスク評価フレームワークは何種類か存在するが、業界ベンチマークはNIST(米国立標準技術研究所)から提供されている。

 NISTが発行している「Special Publication 800-100, Information Security Handbook: A Guide for Managers」には、リスク評価プロセスにおける4つのステップが示されている。SP800-100を基本とした中堅企業向けの簡易版リスク評価プロセスを以下に記す。

Copyright © ITmedia, Inc. All Rights Reserved.

鬯ッ�ョ�ス�ォ�ス�ス�ス�エ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ー鬯ッ�ッ�ス�ィ�ス�ス�ス�セ�ス�ス�ス�ス�ス�ス�ス�ケ�ス�ス�ス�ス驍オ�コ�ス�、�ス縺、ツ€鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ陷ソ髢€�セ證ヲ�ソ�ス�ス�ス�ス�ス�ス�ク鬮ッ�キ�ス�エ�ス�ス�ス�・�ス�ス�ス�ス�ス�ス�ス�。鬯ッ�ゥ陝キ�「�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�、鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ闕ウ�サ�ス�ス髫カ謐コ�サ繧托スス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ髮懶ス」�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�シ鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ闕オ證ヲ�ソ�ス�ス�ス�ス�ス�ス�ス�ス�サ�ス�ス�ス�ス�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス

製品資料 NTTドコモビジネス株式会社

IT人材が不足する中、多拠点/多店舗企業がネットワーク運用を楽にするには?

国内のITサービス市場が堅調に伸びている一方、その推進役を担うIT人材の不足が深刻化しつつある。この問題によって、特に多拠点/多店舗を展開する企業の多くが、自社のネットワーク運用においてさまざまな課題に直面しているという。

製品資料 株式会社日本能率協会マネジメントセンター

効果的な1on1で組織力を向上、AIで対話力を改善する支援ツールとは

管理職の対話型マネジメントによる組織力の活性化を目的に、「1on1」を導入する企業が増えている。しかし、さまざまな課題も浮上している。最先端のAI技術で、客観的に1on1を分析し、PDCAを回して改善ができる1on1支援ツールを紹介する。

製品資料 LRM株式会社

年間を通じたセキュリティ教育計画を立て、従業員の意識を高める方法

社内のセキュリティ意識を高めるために欠かせないセキュリティ教育。効果的な教育を行うには、年間を通じた計画を立てることが必要だ。本資料では、その具体的なアプローチとともに、セキュリティ教育を自動で実現するサービスを紹介する。

製品資料 SB C&S株式会社

厳格化が進むプライバシー規制にどう備える? 企業が押さえるべき実践ポイント

プライバシー保護に関する規制が厳格化する中、データの収集・活用における戦略の見直しが進められている。規制対応のガイドラインとして、求められる対策やファーストパーティーデータ活用時の留意事項などを解説する。

製品レビュー SB C&S株式会社

Webサービス展開に当たって忘れがちな、ID管理とプライバシー規制への対応方法

昨今、多くの組織が、商用サイトなどに来訪するユーザーのプライバシーデータの取り扱いや、その法令順守について戦略の見直しを迫られている。ガバナンスを確保しながらデジタルマーケティングや顧客向けビジネスを推進する方法を探る。

アイティメディアからのお知らせ

驛「譎冗函�趣スヲ驛「謨鳴€驛「譎「�ス�シ驛「�ァ�ス�ウ驛「譎「�ス�ウ驛「譎「�ソ�ス�趣スヲ驛「譎「�ソ�スPR

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

TechTarget驛「�ァ�ス�ク驛「譎「�ス�」驛「譏懶スサ�」�趣スヲ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ陷ソ髢€�セ證ヲ�ソ�ス�ス�ス�ス�ス�ス�ク鬮ッ�キ�ス�エ�ス�ス�ス�・�ス�ス�ス�ス�ス�ス�ス�。鬯ッ�ゥ陝キ�「�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�、鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ闕ウ�サ�ス�ス髫カ謐コ�サ繧托スス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ髮懶ス」�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�シ鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ闕オ證ヲ�ソ�ス�ス�ス�ス�ス�ス�ス�ス�サ�ス�ス�ス�ス�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ髮懶ス」�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ゥ鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ髮懶ス」�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ウ鬯ッ�ゥ陝キ�「�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ュ鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ髮懶ス」�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ウ鬯ッ�ゥ陝キ�「�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ー

2025/07/13 UPDATE

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...