ITも発展して、会社では様々なセキュリティリスクがあり、、、
といっても全てに対応するのは難しいし、どこまで投資すればよいかの判断は難しいですよね。
その時の一つの指標にするために、リスクを定量的、もしくは定性的に測るリスク分析の手法があります。
テストでも出題されるのですが、あまりまとまったサイトがないので、図にまとめてみました。
セキュリティリスク分析手法まとめ
押さえるべきポイント
テストに合格するためだけれであれば、
(↑これだけ覚えればOK、と言っても過言でないと思います。)
あとは、
JRAM=日本
CRAMM=イギリス
を覚えておけばよいと思います。
ALEの公式を見ると、「なんだか難しそう・・・」と思うのですが、
具体例を考えるとそんなに難しくないです。
例えば、
1万円で建てた犬小屋があって、
台風で半壊してしまう可能性があり(その場合修復費用は5,000円)
台風が1年間に来る可能性が20%だとすると、
ALE=5000円X 0.2 = 1000円
ということになります。
それにしても、計算方法がUpdateされていないということは、
情報資産の値付けと、リスクの計測が難しいということなのでしょうか。
確かにセキュリティ事故は起こるとその被害額は莫大だし、
一方で起こらない可能性もあり、、
どこまでその不明瞭なリスクにお金をかけるか、測るのは難しい。
ただ、2017年中に発生した合計386件のインシデント情報をベースに、
JNSA(Japan Network Security Association)が発表した資料によると、(https://www.jnsa.org/result/incident/)
一件あたり平均想定損害賠償額は、5億4,850万円。
この数字をみると、やはり情報を取り扱うにあたっては、
なんらかの対策を導入しなくては、と思いますね。
*CRAMMの開発手法については諸説ありましたが、以下のサイトを参考にしました。
ここまで詳しく理解する必要はないとおもいますが、
実際の質問票なども見ることができて勉強になるJPAのサイトです⬇︎
https://www.ipa.go.jp/files/000013299.pdf
その他の関連用語
その他の関連用語はコチラ⬇︎