情報セキュリティリスクなんて言葉をよく耳にするようになりました。
ニュースでも情報漏洩や色々な問題が取り沙汰されています。
でも、情報セキュリティのリスクってどれくらいか説明できる人は少ないですよね。
特に社会人のあなた。
情報セキュリティリスクについて定量的に語れると上司からの評価は高いですよ。
今回は情報セキュリティのリスクを定量化していくにはどういった視点が必要か。
ゆるーく語っていきたいと思います。
ぜひ、最後までお付き合いくださいね。
情報セキュリティリスクとは?
まず、情報セキュリティリスクとは何でしょうか。
それはある脅威が、情報資産が持っている弱点、すなわち脆弱性を突いた場合の実害です。
具体的には以下のようなトラブルが起こる可能性を指します。
◆財産損失
地震、火災、盗難など
◆人的損失
従業員の病気など
◆サプライチェーンリスク
外部委託先の問題で供給停止など
◆情報漏洩
SNS(FacebookやTwitterなど)による問題など
それぞれの情報資産が持つ弱点(脆弱性)によって、脅威も異なります。
また、守るべき情報資産の価値によって、対策の重みも分かれます。
リスクアセスメントとは?
リスクの大きさは、下記の式で見える化を図ります。
リスクの大きさ = 情報資産価値 × 脅威 × 脆弱性
算定したリスクの大きさに応じて、取り組むべきリスク対策を決めます。
もちろん、全てのリスクに対応するのは難しいものです。
優先順位を決めて効果的な対策を講じていきましょう。
最後までお読みいただきありがとうございました。
Photo by Annie Spratt on Unsplash
