Untitled

２．２．３　リスク分析

　リスク分析とは、費用対効果を考慮した上でリスクを最小化するための対策を設計する目的で、必要な情報を提供することを目的とする。

(1)セキュリティ脅威発生源
まず、リスク分析の第一ステップとして、セキュリティに脅威を及ぼす要因を明確にし、把握しておくことが重要となる。主な、発生源を以下に示す。

a.オンライン画面
・各システム、画面へのアクセス
・ハードコピー

b.帳票
・各種社内帳票

c.磁気媒体
・ＦＤ
・ＭＴ
・ＣＭＴ

d.情報システム部門
・データベース、ファイルの強制修正（スーパーザッピング）
・ダンプリスト
・プログラム上の悪戯（トロイの木馬他）
・業務で知り得た情報の漏洩

e.その他
・ネットワーク
・コンピュータウィルス

(2)人的脅威発生源
セキュリティを考えるにあたって、人の脅威というものが最も大きくまた難しい問題であると思う。なぜなら、機械的な対応はその機械が故障しない限り、最初の指示が半永久的に遵守される。しかし、人に委ねられる部分は、人それぞれによって対応や考え方が異なったり、同じ人でも体調や環境によって変わることがあるからである。
・情報システム部員
・システムユーザ
・悪意の第三者

(3)脅威に対するソフトウェア的制約
たとえば、網羅的に制約すべき点はシステム的に統制し、セキュリティを充分考慮しておくべきである。前述の通り、人に委ね、人の判断のみをあてにすると、その部分のセキュリティの完全性は保証されなくなってしまうおそれがある。

a.オンラインシステム
・アクセスコントロール
ユーザＩＤレベルづけ
・ハードコピー、ソフトコピーの制限

b.ネットワーク
・データの暗号化

(4)脅威の金額換算
リスク分析にともなう金額的評価手法については、定量的に評価する方法も色々研究されているが、現実に合致した手法として何を採用するかは、かなりつっこんだ調査と研究が必要である。ここでは、その評価法の中からＡＬＥについて簡単に説明する。

ＡＬＥ（Annual Loss Expectation；年間損失予想額）は下記の式から導き出される。

ＡＬＥ　＝　（A）発生頻度　×　（B)発生毎の損失額　･･････(1)式

たとえば、300年に一度の確率で起こる火災において、その際の損失額が600億円だと仮定すると、

1/300　×　600　＝　600/300　＝　2（億円／年）

となる。この金額と安全対策費用との比較により、安全対策についての意志決定の資料とすることができる。
なお、ＡＬＥの数値を小さくするためには、(1)式の（A)(B)の要素において、下記のような対応をとることになる。

a.発生頻度
・損失機会の削減
・損失発生確率の削減

b.発生毎の損失額
・早期の損失の回復
・損失要素の削減

情報技術スキルアップの種のページへ

GLORY's OFFICEへ