リスクアセスメントを検証する=リアリティチェックのやり方
リスクアセスメントの基本的な方法論は、(1) CIA喪失による被害額(資産価値)、(2) 脅威(被害を発生させる要因)、(3) 脆弱性(脅威の発生に対する防御能力)をそれぞれレベル分けして、その積を以って(4) リスク値とする。(1)x(2)x(3)=(4) 資産別、CIA別の定量化評価を行うテーブルまたはシートを「リスクアセスメントシート(期待被害額算定表)」として管理することもある。
これは出来るだけ客観的にリスク状況を理解するための方法論であるが、(1)(2)(3)のどの要素として正しく理解することは出来ない。レベルの定義付けも厳密には無理。従ってリスク値もそれなりの曖昧さを伴うものであることは承知しておくべきだ。
<検証方法>
先ず、日常の業務の中でセキュリティリスクとして認識している(情報管理に関連して心配、懸念、あるいは不満に感じている)こと/ものを記述してもらう。特に上位職についている人の声を貰う。ISMS委員がインタビューする方法でも良い。
次に、その懸念している状況を、(1)x(2)x(3)=(4)の形式で構造的に理解し、最初に作ったリスクアセスメントシート((1)x(2)x(3)=(4))にマッピングしてみる。
これを「リスクアセスメントのリアリティチェック」と称します。
上手く整合していれば結構ハイレベルのリスクアセスが実施できたことになる。箸も棒にも掛からなければ、殆ど意味の無いリスクアセスメントの可能性がある。
.*.
ツールを利用した機械的なリスクアセスメントは殆ど役に立たない。
.*.