セキュリティ
リスクマネジメント
Risk Management
概要
情報セキュリティ上のリスクを特定・分析・評価し、適切な対策を講じる管理プロセス。
詳細解説
情報セキュリティにおけるリスクマネジメントは、情報資産に対する脅威と脆弱性を特定し、リスクの大きさを分析・評価した上で、適切な対応策を決定・実施するプロセスである。
リスク対応には、リスク回避(リスクの原因を除去)、リスク低減(対策でリスクを軽減)、リスク移転(保険や外部委託でリスクを転嫁)、リスク保有(許容範囲内のリスクを受容)の4つの戦略がある。定量的リスク分析と定性的リスク分析を適切に使い分けることが重要である。
事例・具体例
サーバへの不正アクセスリスクに対し、ファイアウォール導入(リスク低減)、サイバー保険加入(リスク移転)、軽微なリスクは許容(リスク保有)といった複合的な対応を行う。