新たなリスクの整理と分析：情報セキュリティアドミニストレータ試験対策

>定量的分析法

　◇リスク分析の手法１－リスクの強度による手法

　　(1)定性的分析法
　　　リスクの大きさを金額以外（大・中・小などのレベルや相対的な値など）
　　　で表す分析手法のことです。

　　(2)定量的分析法
　　　リスクの大きさを金額で表す分析手法のことです。

　上記２つの手法を折衷した分析の手法があります。

　◇リスク分析の手法２－具体的な作業手法

　　(1)ベースラインアプローチ
　　　あらかじめ一定の確保すべきセキュリティレベルを設定し、実装するのに
　　　必要な対策を選択し、対象となるシステムに一律に適用することです。

　　(2)非形式的アプローチ　
　　　組織や担当者の経験や判断によってリスクを評価することです。

　　(3)詳細リスク分析　
　　　システムについて詳細なリスクアセスメントを行うアプローチで、情報資産に対し、
　　　資産価値、脅威、脆弱性やセキュリティ要件を識別し、評価することです。

　　(4)組み合わせアプローチ
　　　ベースラインアプローチと詳細リスク分析を組み合わせることを推奨しています。
　　　ベースラインアプローチだけでは、本来よりセキュリティの高い対策が
　　　実装されるべきシステムについて対応策が不十分になる可能性があることや、
　　　詳細リスク分析をすべてのシステムに適用することは、効率の観点から現実的で
　　　はないからです。

>セキュリティレベルの強化は一方で、利用者の利便性を損なう可能性
>もあり、常に利便性とのバランスが課題となる。そのうえリスクはさ
>まざまな環境変化により常に変化していくので、セキュリティポリシ
>ーは運用しながら定期的に見直し更新していかなければ、効果的なセ
>キュリティ対策にはつながらない。

>リスクはさまざまな環境変化により常に変化して行く為、セキュリテ
>ィポリシーを運用しながら定期的に見直し、更新していかなければ、
>効果的なセキュリティ対策にはつながらないから。

>セキュリティーレベルの維持と利用者の利便性の適切なバランスの確
>保の為、また、様々な環境変化により変化するリスクに対応する為、
>セキュリティーポリシーを運用しながら定期的に見直し、更新をしな
>ければ効果的なセキュリティ対策に繋がらないから。

　情報セキュリティがPDCAサイクルで継続的に改善、維持していかなければならない
　大きな理由となります。

>リスク分析において損害金額を予測する分析手法を一般にリスク評価
>という。リスク評価の手法は定量的リスク評価方法と、定性的リスク
>評価方法、定量的リスク評価方法と定性的リスク評価方法の折衷的方
>法の三つに大別され、さらにそれぞれ以下のような代表的な分析手法
>に細分される。
>　1、定量的リスク評価方法
>　　・ALE(Annual Loss Exposure)
>　　　米国商務省標準局作成。
>　2、定性的リスク評価方法
>　　・CRAMM(CCTA Risk Analysis Management Methodology)
>　　　英国大蔵省と英国規格協会が共同開発。
>　　・情報セキュリティポリシーに関するガイドラインのリスク分析
>　　　内閣安全保障・危機管理室情報セキュリティ対策推進室が制定。
>　3、定量的リスク評価方法と定性的リスク評価方法の折衷的方法
>　　・JRAM(JIPDEC Risk Analysis Method)
>　　　日本情報処理開発協会制定。

　リスク分析手法について調べて頂きましてありがとうございます。

　補足しておきますと、JRAMの後継となるリスク分析手法としてJRMSが発表されています。

　「JIPDEC リスクマネジメントシステム（JRMS）のあり方に関する研究（JRAM2002）」の概要
　　http://www.jipdec.jp/security/h14jrms.html

>たしか、セキュアドの過去問でインターネットの利用に対して、他部門
>とは異なる専門性を必要とする部門が全社にて共通のアクセスルールの
>管理下に置かれ、またルールに対する変更許可が迅速に行われない為、
>業務遂行の名目のもとで、実験用のＬＡＮにバックドアを作ってしまっ
>た（セキュリティーバイオレーション）問題があったと思います。利用
>者の利便性の配慮とセキュリティーレベルの維持には少なからず二律背
>反の関係を伴うのでこのバランスをいかに保つのかが重要なポイントに
>なると感じました。

　平成13年午後II問２の設問ですね。

　環境の変化に伴ってリスクが変化しているのですが、利便性を優先してしまい、
　セキュリティインシデントが発生しています。

　セキュリティレベルと利用者の利便性を考慮したリスク分析を実施し、
　セキュリティポリシの更新／見直し、組織への定着化を図らなければなりません。

>ここにも書かれていましたが、セキュリティレベルの維持と利便性の相
>反するもののバランスをとる事は大変な作業です。
>最後は例の如く「人」の問題になってきますね。

　トレードオフの関係にあるものについては、午後問題で出題がされやすいです。
　例を挙げてみましょうか。

　利用者の利便性を考慮せず「セキュリティレベルの維持を重視した対策を取っている」
　という設問の設定にすれば、現実の作業に掛け離れたセキュリティポリシになっていることが
　問題として顕在化してきます。（セキュリティポリシの形骸化）

　セキュリティレベルの維持を考慮せず「利用者の利便性を重視した対策を取っている」
　という設問の設定にすれば、利用者、部門によりセキュリティレベルが異なってしまうため、
　組織として情報資産のCIAを維持することが困難となります。（「人」の問題）

>(1)がよく分りませんでした。
> 合っているのか疑問です。

　合っていました。
　リスク分析手法の特徴（メリット、デメリット）を押さえておきましょう。