リスクの評価 《演習問題》
SWH11問86
リスク分析に関する記述のうち、適切なものはどれか。 ア 考えられるすべてのリスクに対応することは、時間と費用がか かりすぎるので、損失額と発生確率を予想し、リスクの大きさの 順に優先順位をつける。 イ リスク分析によって評価されたリスクに対し、すべての対策が 完了しないうちに、繰り返しリスク分析を実施することは避ける べきである ウ リスク分析は、将来の損失を防ぐことが目的であるから、過去 の類似プロジェクトの経験から作成されたデータでは役に立たな い。 エ リスク分析は、リスクの存在と発生による損失額を知ることが 目的であり、その対策に要する費用についてはリスク分析の対象 から除外される。
解 説
解答
ア 考えられるすべてのリスクに対応することは、時間と費用がか
かりすぎるので、損失額と発生確率を予想し、リスクの大きさの
順に優先順位をつける。
リスク評価額は「1回当たりの予想損失額(*)×発生頻度(回数/年)」
で表されます。
(*)1回当たりの予想損失額 =(直接損失+間接損失+対応費用)
> 完了しないうちに、繰り返しリスク分析を実施することは避ける
> べきである
となる場合があります。
> の類似プロジェクトの経験から作成されたデータでは役に立たな
> い。
> 目的であり、その対策に要する費用についてはリスク分析の対象
> から除外される。
リスク対応費用もリスク分析のコストとして考慮しなければなりません。
◇リスク分析の手法1-リスクの強度による手法
(1)定性的分析法
リスクの大きさを金額以外(大・中・小などのレベルや相対的な
値など)で表す分析手法。
(2)定量的分析法
リスクの大きさを金額で表す分析手法。
◇リスク分析の手法2-具体的な作業手法
(1)ベースラインアプローチ
あらかじめ一定の確保すべきセキュリティレベルを設定し、実装
するのに必要な対策を選択し、対象となるシステムに一律に適用
することです。
(2)非形式的アプローチ
組織や担当者の経験や判断によってリスクを評価することです。
(3)詳細リスク分析
システムについて詳細なリスクアセスメントを行うアプローチで、
情報資産に対し、資産価値、脅威、脆弱性やセキュリティ要件を
識別し、評価することです。
(4)組み合わせアプローチ
ベースラインアプローチと詳細リスク分析を組み合わせることを
推奨しています。ベースラインアプローチだけでは、本来よりセ
キュリティの高い対策が実装されるべきシステムについて対応策
が不十分になる可能性があることや、詳細リスク分析をすべての
システムに適用することは、効率の観点から現実的でないからです。
【参考資料】
「第3回 企業のセキュリティリスクを査定するガイドGMITS」
http://www.atmarkit.co.jp/fsecurity/rensai/guide03/guide01.html
sponsored link
このページ
のTOPへ
