リスク値を計算しよう
資産価値、脅威、脆弱の値を出したら、次にリスク値を計算する。
リスク値の計算式は次の通りだ。
資産価値×脅威×脆弱性=リスク値
ただ、この計算式はこれといって決まったものはなく、いろいろと議論があるようで、足し算でもいいし、掛け算でもいい、というものらしい。
この式自体になんだか違和感のある人もいるかもしれないが、とにかくリスクを定量化することを優先しているようだ。
センターでも議論はいろいろあったけれど、掛け算の式で計算する方法を採用した。
また、資産価値、脅威、脆弱の3つは次のような関係がある。
それぞれの言葉の意味は何となくわかっていても、リスクアセスメントのやり方なんてどうやればいいのか 解らなかったが、コンサルタントさんに例を挙げてもらっているのを横で見ていると、つまりはこういうことだった。
センターでは、情報資産の担当者に一人一人、その資産について考えられる脅威や、脆弱、資産価値の大小について聞き取りをした。
その時に、この関係を頭に入れて聞き取り、それぞれの数値を考えてもらったあと、リスク値の計算を行い、アセスメント作業を進めたのだ。
注意することは、よくいわれることだけれど、資産価値の3つの値「機密」「完全」「可用」を足したり、3つまとめて資産価値と呼ぶんだから、と、
平均値を求めて式に当てはめてはいけない、ということだ。
それぞれの資産価値における、脅威・脆弱を考えるのであって、だからこその例→「情報資産Aの機密性が3のとき脅威aが起きるのは脆弱性bが原因である。」なのだ。
だから、資産価値を求めるときは、一つの情報資産の「機密」「完全」「可用」それぞれを計算しなければならない。
リスク値の計算式は次の通りだ。
資産価値×脅威×脆弱性=リスク値
ただ、この計算式はこれといって決まったものはなく、いろいろと議論があるようで、足し算でもいいし、掛け算でもいい、というものらしい。
この式自体になんだか違和感のある人もいるかもしれないが、とにかくリスクを定量化することを優先しているようだ。
センターでも議論はいろいろあったけれど、掛け算の式で計算する方法を採用した。
また、資産価値、脅威、脆弱の3つは次のような関係がある。
それぞれの言葉の意味は何となくわかっていても、リスクアセスメントのやり方なんてどうやればいいのか 解らなかったが、コンサルタントさんに例を挙げてもらっているのを横で見ていると、つまりはこういうことだった。
センターでは、情報資産の担当者に一人一人、その資産について考えられる脅威や、脆弱、資産価値の大小について聞き取りをした。
その時に、この関係を頭に入れて聞き取り、それぞれの数値を考えてもらったあと、リスク値の計算を行い、アセスメント作業を進めたのだ。
注意することは、よくいわれることだけれど、資産価値の3つの値「機密」「完全」「可用」を足したり、3つまとめて資産価値と呼ぶんだから、と、
平均値を求めて式に当てはめてはいけない、ということだ。
それぞれの資産価値における、脅威・脆弱を考えるのであって、だからこその例→「情報資産Aの機密性が3のとき脅威aが起きるのは脆弱性bが原因である。」なのだ。
だから、資産価値を求めるときは、一つの情報資産の「機密」「完全」「可用」それぞれを計算しなければならない。
