資産価値とはまた別に、リスクの定量化をするうえで必要になってくる2つのレベルがある。
それが「脅威」と「脆弱」のレベルだ。
情報資産を損なうような、起こると考えられる危険(脅威)と、その情報資産のキャシャな部分(脅威が起きた場合につけ込むかもしれない脆弱)のことで、山口大学情報基盤センターではこれを1〜4段階のレベルに分ける考え方を採用した。
脅威に関しては、どのくらいの頻度で起こるのかということにレベル(数値)をつけ、脆弱は、「脅威の防御レベルとして評価」した、らしい。
ぼうぎょ…何だかゲームっぽいけど、全然そんなことないので、やっぱり頭がぼーっとしてくる。そういうわけで下の緑の表のように私なりに言い換えてみた。
脅威の発生頻度
脆弱の防御時間
ちなみに脆弱のほうの規格の原文はレベル2まで同じで、以降→レベル3:脅威が発生してもある程度防御できる。8時間以内の防御時間。 レベル4→脅威が発生するとほとんど防御できない。1業務日以上の防御時間。
やり方によっては、脅威のレベルが3段階だったり、脆弱性のレベル決めに防御時間ではなくリスクの顕在化がどんな人(専門スタッフか、顧客か)の不注意で起きるか、でレベル分けする方法もあるようだ。