リスク分析は、どこにどのようなリスクがどの程度存在しているかを把握することです。
リスク分析手法としては、GMITS(Guidelines for the Management of IT Security:ISO/IEC TR 13335のこと)で紹介されている4つの手法が取り上げられることが多いようなので、ちょっとみてみました。
(1)ベースラインアプローチ
社内外の基準や規程、標準、ガイドラインなどを標準にして、リスク分析を行う方法です。短期間で効率的な実施ができますが、場合によっては過剰あるいは不十分な分析結果となるとされています。
(2)詳細リスク分析
情報資産、脅威、脆弱性の洗い出しを行い、その組み合わせからリスクの大きさを評価する手法です。情報資産ごとのリスクに応じた対策が実施できますが、分析には多くの時間がかかるとされています。
(3)非形式的アプローチ(非公式アプローチ)
分析者の知識と経験によってリスク分析を行う方法です。分析者の能力によって分析の時間や品質に差が出るとされています。
(4)組み合わせアプローチ
上記のアプローチを組み合わせて、それぞれの手法のメリットを活かし、デメリットを補うものです。ベースラインアプローチを基本にし、重要な事項については、詳細リスク分析を実施する、などのような方法がとられます。
さて、平成18年度情報処理技術者試験の情報セキュリティアドミニストレータ午前試験の問36をみてみます。なお、試験問題の全文については、情報処理技術者試験センターの Web サイト http://www.jitec.jp/ にて公開されています。
問36 ISMS におけるリスク分析の方法の一つであるベースラインアプローチはどれか。
ア 公表されている基準などに基づいて一定のセキュリティレベルを設定し、実施している管理策とのギャップ分析を行った上で、リスクを評価する。
イ 情報資産を洗い出し、それぞれの情報資産に対して資産価値、脅威、脆弱性及びセキュリティ要件を識別し、リスクを評価する。
ウ 複数のリスク分析方法の長所を生かして組み合わせ、作業効率や分析精度の向上を図る。
エ リスク分析を行う組織や担当者の判断によって、リスクを評価する。
答えは、ア。
ちなみに、イは詳細リスク分析、ウは組み合わせアプローチ、エは非形式的アプローチ(非公式アプローチ)の説明に該当しそうです。