1.1.1. セキュリティテストにおけるリスク評価の役割

セキュリティテストの目的はセキュリティリスクに基づいています。セキュリティリスクは、セキュリティリスク評価を実行することによって識別されます。一般的なリスク管理手法は[ISTQB_FL_SYL]と[ISTQB_ATM_SYL]に記述されています。

リスクは、対象が潜在的な状況またはイベントによって脅かされている程度の尺度であり、通常は次の尺度となります。
* 状況または出来事が発生した場合に生じる可能性のある悪影響
* 発生する可能性

情報セキュリティリスクとは、機密性、完全性、または情報、情報システムの可用性の喪失により、組織の運営（すなわち、任務、機能、イメージ、または評判）、組織の資産、個人およびその他の組織や国家に対する潜在的な悪影響を生じるリスクのことです。 [NIST 800-30]

セキュリティリスク評価の役割は、分野や資産が危険にさらされている可能性があるのかを組織が理解し、それぞれのリスクの規模を判断することを可能にすることです。
セキュリティテスト担当者にとって、セキュリティリスク評価は、セキュリティテストを計画および設計するための豊富な情報源になります。さらに、セキュリティリスク評価を使用してセキュリティテストに優先順位を付けることができるため、リスクの高い領域に最高レベルのテストの厳しさと適用範囲を集中させることができます。

セキュリティリスク評価に基づいてセキュリティテストに優先順位を付けることで、テストはビジネスセキュリティの目的に沿ったものになります。
ただし、この調整を行うには、セキュリティリスク評価に組織のセキュリティ上の脅威、影響を受けるステークホルダー、および保護する資産を正確に反映させる必要があります。

リスク評価（セキュリティまたはその他）は、特定の時点におけるスナップショットにすぎず、無効な仮定や結論につながる可能性がある限られた情報に基づいていることを理解することが重要です。
セキュリティリスクは、新しい脅威が日々出現するため、組織やプロジェクト内で絶えず変化しています。したがって、セキュリティリスク評価は定期的に実施する必要があります。セキュリティリスクアセスメントを実行するための正確な間隔は、組織と組織の変化の程度によって異なります。一部の組織は3〜6か月間隔でセキュリティリスク評価を実行し、他の組織は年1回ベースでセキュリティリスク評価を実行する場合もあります。

リスク評価に関するもう1つの問題は、参加者の知識レベルです。
詳細情報が不足しているため、リスクを見逃す可能性があります。さらに、参加者がセキュリティの脅威とリスクを理解していないと、リスクが見逃される可能性があります。このため、さまざまな参加者の参加を求め、参加者が提供する情報にの詳細度合いに注意を払う必要があります。

現実的には重要なセキュリティリスクがリスク評価で見逃される可能性があります。リスク評価が不完全である可能性に対処する方法としては、確立されたセキュリティリスク評価方法をチェックリストとして使用したり、複数の識者から情報を得たりすることが挙げられます。

方法論の例は[NIST 800-30]を参照。

1 セキュリティテストの基礎