2020年04月09日 05時00分 公開
特集/連載

いまさら聞けない「リスク評価」「リスク分析」「リスク管理」の違いとは?各プロセスの連携は必須

「リスク評価」「リスク分析」「リスク管理」は何が違うのか。セキュリティ対策と予算計画の適切な意思決定をするために、これらの違いを理解しよう。

[Katie Donegan,TechTarget]

 「リスク評価」「リスク分析」「リスク管理」は、同じ意味で使用されることが少なくはなく、同義語であると考える人もいる。しかし実際にはそれぞれが独自のプロセスだ。IT管理者やビジネスリーダーはこれを理解しておく必要がある。

 基本的には、リスク評価は「情報」であり、リスク分析は「処理」であり、リスク管理は「計画」だ。本稿はこれらの違いと、優れた情報セキュリティ対策を実現するためにこれらを組み合わせる方法を詳しく説明する。

目次

リスク評価とは

 リスク評価は、既存のセキュリティ対策や、潜在的な脅威に対する組織の体制を評価する。リスクが緩和できない場合に発生する可能性のある影響も説明する。

 組織やその業界によって、リスク評価の目標は異なる。一般的な目標としては、

  • 現時点で保有しているリスクの種類や量をまとめた「リスクプロファイル」の策定
  • IT資産やデータ資産のインベントリ作成
  • セキュリティ対策のコストのサポート

などがある。

 組織はリスクを評価する際、リスク評価の一般的なフレームワーク(骨組みとなるドキュメント集)を使用した方がよい。フレームワークは、特にITインフラのセキュリティリスクに関する情報を優先順位付けして共有するのに役立つ。理想的には、フレームワークには技術的な背景を持つ人にも持たない人にも分かる言葉が含まれていることが望ましい。

リスク分析とは

ITmedia マーケティング新着記事

news137.jpg

米大統領選を巡る「アプリ対決」のゆくえ 「Trump 2020」 vs. 「Vote Joe」と「TikTok」 vs. 「Triller」
米国では2020年月の大統領選挙を前に選挙戦がますます活発化しています。関連するアプリ...

news143.jpg

店舗の滞在時間が減少、「20分未満」が約1.5倍に――凸版印刷とONE COMPATHが5万人買い物調査
電子チラシ「Shufoo!」を利用する全国の男女5万人を対象に実施した買い物に関する意識調...

news002.jpg

好意度と購入意向を10倍以上にした「局所的熱狂」をどう生み出すか
成功する広告は他と何が違うのか。マーケターが押さえておくべき新しい広告戦略の定石と...