【リスク対策】７．リスク値を計算する

長かった…ですねｗ
ようやく前回までやったことで、実はリスク値が算出されています。
今回はその説明などしていこうと思います。

【勉強会テーマ】リスクって何？対策ってどこまでする？
【ケース】寄付関連業務
【対象】 NPOの情シス・NPOの経営者・寄付したことがある人
【ゴール】
・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。
【時間】2時間(うち15分の休憩はさむ)
【アジェンダ】
１．業務フローを書く
２．ステークホルダーを洗い出す
３．情報資産を洗い出す
４．リスクを想定する
５．脅威の大きさを見積もる
６．脆弱性の大きさを見積もる
７．リスク値を計算する
８．対策を考える
９．todoと期日を決める
【前提】
・特定のNPOの事例ではありません。HPを通して寄付を集めて、領収書発行するまでの汎用的な業務フローを想定しています。

前回のおさらい

「４．リスクを想定する」で想定したリスクごとに、対策しなかったらどのくらいの頻度で発生するのか？いまどこまで対策しているのか？を点数化しました。

前々回で脅威の大きさを見積もっています。

以前リスクは脆弱性と、脅威で要素分解できると伝えましたが、これの掛け算で算出できるので、すでに算出済みとなります。

手順１）リスク値を知る

以前リスクは脆弱性と、脅威で要素分解できると伝えましたが、これの掛け算で算出できるので、すでに算出済みとなります。

実際に、IPAが提供しているリスク分析シートの「リスク値」にも値が入っています。

数式を見てみると、「脅威の数値化」として使った重要度、脆弱性の数値化として使った「被害の発生可能性」が参照されていることがわかります。
※媒体・保存先も参照元に入っていますが、ここが空欄かどうかをチェックしているだけです。

手順２）リスク値と感覚をすり合わせる

さて、リスク値を見てどう思ったでしょうか？
私は「えっ、そんなにこれって重要？？」みたいな感覚を最初に持ちました。

▼リスクと、リスク値
・ハッキング、クラッキングを受ける：リスク中
・申込情報に誤りがある：リスク大
・Webサーバーが停止する：リスク中

例えば、申込情報の誤りってリスク大？というか、ハッキング・クラッキングよりリスク高い？？ってなります。

ここで重要なのは定量的に算出していくと、確かにリスクは高いんです。
まず個人情報であることで、情報資産としてはトップレベルで重要性が高くなります。少なくとも、データの完全性はこの時点で満たせていません。
そして申込ページに何も対策を施していなければ誤りは頻度高く発生します。

ただし…これって本当に正しいんでしょうか？
過去の判例を見ても当人の誤入力による事件はぱっと見出てきませんでした。
どちらかというと、攻撃によって改竄された場合の判例ばかりです。

タイトル未設定

このように、算出されたリスク値も見直す必要があります。
全部鵜呑みにしない方が良いです。

とは言え、「リスク大」になっているものを中心に次回から対策を考えていきましょう。