Chapter4 リスク分析及びリスクマネジメント

• リスク分析手法
  • 定量的 -> 金額で見積もる
  • 定性的 -> レベル分けするとか
• 具体的には？
  • ベースラインアプローチ
    • Q&Aの一覧など
  • 非形式的アプローチ
    • 担当者の漢の勘
  • 詳細リスク分析
    • 理路整然とやるがコスト大
  • 組み合わせアプローチ
    • いいとこどり
• 各国の主要なシステム
  • CRAMM(U.K)
  • JRAM(JPN)
  • ALE(U.S.)
• 詳細リスク分析
  • リスク分析範囲の決定
  • 情報資産の洗い出し
  • 情報資産の分類と評価
    • CIA毎の重要度などをスコアにする
  • 脅威の洗い出し
    • 人的（意図的、偶発的）
    • 環境的
  • 脆弱性の洗い出しと評価
  • リスク洗いだしと評価
  • リスクの評価
    • （リスク） == 情報資産の価値（重要度） x （脅威）x （脆弱性）
    • 要するに、期待値として評価されるってこと。
    • 普通に考えれば分かることなんだけど、用語が後ちゃ留可能性があるので要注意。
    • 普段から正しい言葉遣いを心がけるしかりますまい。
• リスク処理
  • リスクコントロール
    • リスク回避
    • リスク分離
    • リスク集中
    • リスク移転
    • 損失予防
    • 損失軽減
  • リスクファイナンス
    • リスク保有
    • リスク移転
• リスクコントロール
  • リスクが現実化しないように、たとえ起こっても損失が最低限になるように、事前に行う対策。
  • 具体的な中身は、情報セキュリティ対策そのものである。
  • 用語の暗記と具体的なところをまとめ直そう。
• リスクファイナンス
  • 金で片を付ける