1.1.3 リスクアセスメント手法の分析

セキュリティリスクのアセスメントプロセスは、標準的なリスクアセスメントと非常によく似ていますが、主な違いはセキュリティ関連分野へ焦点が当てられていることです。

セキュリティリスク評価には、外部のセキュリティテストのステークホルダの視点を含める必要があります（すなわち、プロジェクトに関与しているか、または社外にいてプロジェクト/製品のセキュリティに明確な利害関係を持っている、製品に関係している人または関係者）。これらのステークホルダには以下のようなものがあります。

・顧客とユーザー：視点を理解し、セキュリティテストのための情報を得る、また良いコミュニケーションを確立するために役立ちます。
・公衆と社会：情報セキュリティが地域社会の努力と責任であることを伝えるために重要です。
・規制機関：情報セキュリティに関する適用法の遵守を確保するために必要です。

リスク評価の準備には、以下の作業が含まれます。[NIST 800-30]
・評価の目的を特定する
・評価の範囲を特定する
・評価に関連する仮定と制約を特定する
・評価へのインプットとして使用される情報の出所を特定する。
・評価中に採用されるリスクモデルと分析的アプローチ（評価と分析アプローチ）を特定する。

リスク評価の実施には、以下の作業が含まれます。[NIST 800-30]
・組織に関連する脅威の原因を特定する
・これらの情報源によって発生する可能性がある脅威イベントを特定する
・特定の脅威イベントを介して脅威の発生源によって悪用される可能性がある組織内の脆弱性と、悪用に影響を与える可能性がある素因となる条件を特定する
・特定された脅威の発生源が特定の脅威イベントを発生させる可能性、および脅威イベントが成功する可能性を判断する
・脅威による脆弱性の悪用から生じる、組織の運営や資産、個人、他の組織、および国家への悪影響を判断する

情報の伝達と共有は、以下の作業が含まれます。[NIST 800-30]
・リスクアセスメントの結果を伝達する
・他のリスク管理活動を支援するために、リスク評価の実行において開発された情報を共有する

JSTQB AL セキュリティテスターの目次

1 セキュリティテストの基礎