簡単に導入できるリスク評価フレームワークコンサル抜きでも可能

自社の情報資産を保護するためには、何らかのリスク評価を実施するべきだ。中堅企業向けの簡易版リスク評価プロセスを紹介する。

2008年10月07日 08時00分 公開
[Joel Dubin,TechTarget]

 リスク評価それ自体はもちろんのこと、リスク評価フレームワークのコンセプトでさえも中堅企業にとっては不要だと思っているかもしれない。しかしリスクを評価するというコンセプトは、あらゆる規模の企業にとってITセキュリティの核となるものだ。自社の情報資産を保護することに関心を抱いている中堅企業(言い換えればあらゆる中堅企業)は、何らかのリスク評価を実施する必要がある。たとえそれが、少人数のスタッフ向けに作成された簡易型フレームワークだとしてもだ。

 うれしいことに、リスク評価フレームワークは無料だ。Webから容易にダウンロードし、自由に印刷して検討できる。これらは難解な文書で、コンサルタントの助けを借りなければリスク評価フレームワークを導入できないと思うかもしれないが、実際には必ずしもそうではない。どれほど複雑なフレームワークであっても、中堅企業が導入できる形に簡素化するためのベストプラクティスが存在するからだ。

 リスク評価の目標は、ITインフラの各要素におけるITセキュリティリスクに優先順位を付けることだ。リスクの優先順位がなければ、企業は最大のリスクに対するコントロールに必要な予算を効果的に割り振ることができない。その結果、過大なコントロールや不必要なコントロールに費用を掛け過ぎたり、それとは逆に、悪質な攻撃にさらされているシステムを放置するといったことになってしまうのだ。予算に制約がある中堅企業にとって最大の問題はコストだ。経営幹部にとって高価に思えたり、難解に感じられたりするセキュリティシステムの場合は、なおさらそうだ。

 また、リスクの優先順位付けを行うことにより、不正利用や攻撃のリスクが低いシステムはどれかを特定して過度のセキュリティ対策を避ける一方で、高いリスクにさらされ、強力な防御を必要とするシステムを特定できる。リスク評価フレームワークは何種類か存在するが、業界ベンチマークはNIST(米国立標準技術研究所)から提供されている。

 NISTが発行している「Special Publication 800-100, Information Security Handbook: A Guide for Managers」には、リスク評価プロセスにおける4つのステップが示されている。SP800-100を基本とした中堅企業向けの簡易版リスク評価プロセスを以下に記す。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。