【リスク対策】６．脆弱性の大きさを見積もる

今回は脆弱性の大きさを見積もっていきます。
ここまでくれば自社がどんなリスクを抱えているのか、だいたいわかるようになります。

【勉強会テーマ】リスクって何？対策ってどこまでする？
【ケース】寄付関連業務
【対象】 NPOの情シス・NPOの経営者・寄付したことがある人
【ゴール】
・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。
【時間】2時間(うち15分の休憩はさむ)
【アジェンダ】
１．業務フローを書く
２．ステークホルダーを洗い出す
３．情報資産を洗い出す
４．リスクを想定する
５．脅威の大きさを見積もる
６．脆弱性の大きさを見積もる
７．リスク値を計算する
８．対策を考える
９．todoと期日を決める
【前提】
・特定のNPOの事例ではありません。HPを通して寄付を集めて、領収書発行するまでの汎用的な業務フローを想定しています。

前回のおさらい

情報資産ごとに、機密性、完全性、可用性を評価することによって重要度を算出しました。
今回は、「４．リスクを想定する」で洗い出したリスクの脆弱性を評価していきます。

脆弱性とは、IPAの定義では「脅威によって影響を受ける内在的な弱さ」のことです。（参考）
もう少しわかりやすく言うと、現状の対策状況下において、どのくらいの「頻度」で発生するの？ってことです。

手順１）リスク対策を全くしていない状況で、どのくらい危険が発生するか？を記載

IPAのシートに元からある評価と合わせたいので、以下の3段階で点数をつけていきます。
ここではあくまで対策をしていない場合にどのくらい発生するかを記載してください。

1:通常の状況で脅威が発生することはない
2:特定の状況で脅威が発生する（年に数回程度）
3:通常の状況で脅威が発生する（いつ発生してもおかしくない）

こんな感じで、定性的に記載したリスクの左側に数値を入力していきます。
※「：」はあってもなくても良いです。

このあたりも感覚ですし、例年のセキュリティ攻撃のトレンドによって変わります。

手順２）リスクごとの対策状況を記載

次に、対策状況を記載します。
対策状況も3段階で評価してください。

1:必要な対策をすべて実施している
2:部分的に対策を実施している
3:対策を実施していない

実際に「1」が付くケースは稀だと思います。

こちらも点数を一番左に書けば勝手に計算してくれます。
以下の図はわかりやすいようにテキストも記載しています。

これで被害の発生可能性として脆弱性が定量化されました。

これで次回はリスク値の算定です。
といっても、すでにリスク値は出ているので、考え方や、読み方について記載していきます。