リスク評価の基本

リスク評価の基本が案外出来ていない。何故だろう。無理解な審査員、コンサルタントが普通の思考を阻害しているとしか思えない。

情報セキュリティにおけるリスクとは、情報セキュリティを喪失した時に発生する被害額の期待値。

情報が全く入っていないインストール前のパソコンなら、被害額はパソコン本体のお値段でそれが期待値の最大値。もっとも、買い替えの時間的ロスを入れるともっと大きい数字になるだろう。

コンテンツは複雑でセキュリティの喪失状況によるし、客観的な損失額の評価が簡単に出来ない。そこで、事前の策としては金額の代わりにレベル区分を与えた。

Value(価値）は金額またはレベル区分（金額を推定できるレベル区分）。

Threat（脅威）は、最初に識別され、評価される。年間予算で計画を組む前提なら評価は年間の発生頻度を出しておく。

Vulnerability（脆弱性）は、識別された脅威に対する被害確率。その脅威が現実のものとなった場合に、発生する被害の大きさの比率。全損となる場合は１、１０％を失う場合は０．１、全く影響を受けない場合は０となる。

資産Aの年間の被害額の期待値は、価値A×脅威A１×脆弱性A１＋価値A×脅威A2×脆弱性A2+・・・・。

これをCIA独立してやるのだから際限も無い。だから普通は主要な資産（主要な価値、脅威、脆弱性）に絞るし、金額ベースでなく、レベル区分ベースに置き換える。このレベル区分が本質を見失う要因になることが多い。

脆弱性は確率で、０．０～１．０を区分分けする。
脅威は年間の発生回数で、０回～ｘｘｘ回（最大3桁程度）を区分分けする。
価値は損害額で、０円～ｘｘｘ億円（組織の全体価値）を区分分けする。

この3つの関係はCIAで一致させておくこと。Cを重視するからと言ってレベル区分を変更する組織がある。変えて良さそうなのはCの価値だが、金額換算がベースにあればテンプレート事態は全く影響を受けない。

計算は掛け算とサンメンションしか存在しない。

個々の脅威と脆弱性から問題（リスク値が受容レベルを超えているケース）を探すには掛け算だけでよい。
サンメンションは個々の脅威脆弱性の関係はクリアしているが、総合トータルして危険な資産を発見するのに利用できる。残留リスクを積極的に評価する手法である。この段階までハイレベルな取り組みを行っているISMS組織は今まで1社しか見ていない。

さて、

リスクアセスメントの事例を見るとどうしてこうも無意味な計算式が、マトリクスが策定されてしまうのだろうかと思うことがある。複雑化され合理性を失った計算式を見ると、論理性の無い、それでいて傲慢な管理職の存在が目に浮かぶ。厚顔無恥の御仁。それが経営者か、管理責任者か、コンサルタントか、審査員か、興味深い。