リスク分析の考え方Last Updated 2003/1/3 ●Security INDEXへ ★TOP INDEXへ NetworkWorld 2002年10月号掲載リスク分析の考え方 セキュリティポリシーを作るとき、いきなりガイドラインや手順書を作ったとしても、現実に行なわれている運用や運営方法にそぐわない、言ってみれば「理想的」なものになってしまう。現実から著しく乖離したルールを作ったとしても、無視されて守られなくなってしまうのがオチだ。 そうならないために、リスク分析をする必要がある。 ではそのリスク分析とはどのような手順で行なうのか、そのあたりから見てみよう。 リスク分析の目的は、現状のリスクには何があるのか、そしてその程度はどのくらいか?を見極めることにある。一般的には以下のような段取りで行なう。 (1)情報資産の洗い出し(プライオリティの設定) (2)洗い出された資産に対するリスク分析 ポリシ
