いまさら聞けない「リスク評価」「リスク分析」「リスク管理」の違いとは？：各プロセスの連携は必須

「リスク評価」「リスク分析」「リスク管理」は何が違うのか。セキュリティ対策と予算計画の適切な意思決定をするために、これらの違いを理解しよう。

[Katie Donegan，TechTarget]

　「リスク評価」「リスク分析」「リスク管理」は、同じ意味で使用されることが少なくはなく、同義語であると考える人もいる。しかし実際にはそれぞれが独自のプロセスだ。IT管理者やビジネスリーダーはこれを理解しておく必要がある。

　基本的には、リスク評価は「情報」であり、リスク分析は「処理」であり、リスク管理は「計画」だ。本稿はこれらの違いと、優れた情報セキュリティ対策を実現するためにこれらを組み合わせる方法を詳しく説明する。

目次

• リスク評価とは
• リスク分析とは（会員限定）
• リスク管理とは（会員限定）
• リスクの評価、分析、管理の相互連携（会員限定）

併せて読みたいお薦め記事

より良い監査方法を知る

• 内部関係者による犯罪を防ぐ「身元調査」「リスク評価」　どう実施する？
• 監査視点から見たログ管理　取り扱いの違いを知る
• 監査業務を効率化する「AI」「プロセスマイニング」「GRCツール」とは？

ビジネスプロセスのリスクと対策

• 「人の脆弱性」がセキュリティ最大のリスク　どうやって「最悪の事態」を想定する？
• RPAで深刻化、仕事の手順を勝手に変える「ビジネスプロセス詐欺」（BPC）とは？

リスク評価とは

　リスク評価は、既存のセキュリティ対策や、潜在的な脅威に対する組織の体制を評価する。リスクが緩和できない場合に発生する可能性のある影響も説明する。

　組織やその業界によって、リスク評価の目標は異なる。一般的な目標としては、

• 現時点で保有しているリスクの種類や量をまとめた「リスクプロファイル」の策定
• IT資産やデータ資産のインベントリ作成
• セキュリティ対策のコストのサポート

などがある。

　組織はリスクを評価する際、リスク評価の一般的なフレームワーク（骨組みとなるドキュメント集）を使用した方がよい。フレームワークは、特にITインフラのセキュリティリスクに関する情報を優先順位付けして共有するのに役立つ。理想的には、フレームワークには技術的な背景を持つ人にも持たない人にも分かる言葉が含まれていることが望ましい。

リスク分析とは