ハローワールドその３：リスクマネジメントとは

リスクマネジメントってネットで検索するといろんなものがでてきますねぇ。特にお金と介護。
とはいえ今回はセキュリティのリスクマネジメントについて書きますよ。

リスクマネジメントとは

結局セキュリティをどれだけ守っても、利用する限り脅威はゼロにはなりませんし、そこだけに神経を使っていたら経済活動はできません。
自分の中で「ここまでは」「これ以上あったらこうする」みたいなコントロールが必要。
そういう舵取りをリスクマネジメントと言います。

お金でいうなれば「株買ったけど、株価8割になっても絶対うらない！どうじませんよ！」「でも６割になったら借金しないとだから損切する！」とかそういう決め事をある程度きめておき、実行すること？でしょうか。ある程度最初に決めておくと楽ですよね〜。

リスクマネジメントの流れ

下記①～④をリスクマネジメントと言います。
　①リスク特定
　②リスク分析
　③リスク評価
　④リスク対応
中でも①～③をリスクアセスメントといいます。プロセスの制定ですね。

①リスク特定

組織や企業が持つ情報資産にどのようなリスクがあるかを調査し特定すること。
先日書いたCIA(機密性、可用性、完全性)への脅威を洗い出すことですね。情報発信の会員制HPなどを運営している場合、「可用性を脅かされるリスク」としてDos攻撃、ログイン機能のパスワードを盗まれたりしたら機密性、情報の改ざんは完全性への脅威がありますね。

②リスク分析

①で現れたリスクに対し
　　情報資産の重要性　×　脆弱性　×　脅威　＝　リスク値
という計算式で数値化させます。

③リスク評価

②で算出された数値をもとに、リスクの「起こりやすさ（発生可能性）」と「影響度」をベースとして、優先順位を決めます。
ん～これは起きたらやばいけど（影響大）めったに起きないな（発生小）。
これは頻発しそうだが、まぁやられてもなんともないでしょー
てきな？

④リスク対応

③で出た評価をもとに、対応します。方法は４つ
・リスク移転
　（リスクは高いがめったに起きない　→　例：保険に入るなど）
・リスク保有
　（リスクも低いしめったに起きない　→　例：起きても受け入れる）
・リスク回避
　（リスクも発生頻度も高い　→　例：金かけて対策をする。またはリスクの高いものは切るなど）
・リスク低減
　（リスクは低いが起きる頻度が高い、など　→　例：せきゅりていソフトを入れて脅威を下げる、など）

リスクアセスメントは定期的に見直す

リスクマネジメントは逐次行います。①～③を行うガイドライン、リスクアセスメント（こういうときどうする）というのは、ネットの世界は非常に動きが速いので、常に動向を確認し、会社の状況に合わせ定期的に見直すことが必要です。

ほんと、インターネットの世界って動きが速いですよねぇ。
いやーみんなすげぇや。