リスクアセスメントは何段階評価にするか?
手を抜くには3段階。どうせ段階評価なんていい加減な妥協の産物。ここを木目細かくやっても有効性は上がらない。但し、3段階は心理操作が入るので進められない。中心選択が出来ないように偶数段階にするのが今どきの常識。4段階。
資産価値も、脅威も、脆弱性も、全て分かり易いように4段階。
◆ 4(価値)×4(脅威)×4(脆弱性)=64(リスク値)
脅威と脆弱性を括って被害の発生確率とするケースもある。
◆ 4(価値)×4(発生確率)=16(リスク値)
しかしこれは分析が更にラフになるから勧められるものではない。特に脆弱性に対するアプローチが曖昧になるのはリスクアセスメント全体のスキームをスポイルするので致命的とも言える。
.*.
面白いことがある。機密性だけ4段階にする話だ。完全性、可用性は3段階にしたまま、機密性だけ4にするというのだ。馬鹿げた話だ。正しい資産価値評価も出来ないし、リスク値の意味まで本質を失ってしまう。
リスク値は本来、期待損失のこと。可能なら被害額を算定するのが正しい。被害額算定の方法論が簡単でないから、段階評価をやっているに過ぎない。だから、CIAのどの側面を喪失しても、被害額は同じ軸(本来は金額)で求められなければいけない。
ISMSが流行りだした初期のころは、CIAで段階を分けるような間違いの他に、CIA各側面の資産価値を足したり、平均値を出したり、あるいは脅威と脆弱性を足したり掛けたりなどと頓珍漢のロジックを組むところがあった。コンサルの罪は重い。審査員も合理性を求めないで見て見ぬ振りだから同罪。と言うか、本質を殆ど理解していない審査員も少なくないようだ。
既に10年を経過した今の時代でも、その名残を引きずるISMSは結構ある。ご都合の見よう見まねの結果です。
.*.