第 1 章 : セキュリティ リスク管理ガイドの紹介
公開日: 2005年1月13日
トピック
概要
対象読者
このガイドが対象とする範囲
成功するための鍵
用語と定義
表記規則
このガイドに関する問い合わせ
関連情報
概要
環境上の課題
ほとんどの組織は、ビジネス目的を支援する際に情報技術 (IT) が果たしている重要な役割を認識しています。 しかし、現在の高度にネットワーク化された IT インフラストラクチャは、ますます危険な状況に置かれています。攻撃の頻度は増大し、より迅速な対応が求められています。 多くの場合、組織は、ビジネスが影響を受ける前に新しいセキュリティの脅威に対応することはできません。 インフラストラクチャのセキュリティ、およびそのインフラストラクチャが提供するビジネス上の価値を管理することは、IT 部門の最優先課題になっています。
さらに、プライバシー問題、財務上の義務、および企業統治から生まれた新しい法律により、組織はこれまでになく緊密かつ効果的に IT インフラストラクチャを管理するよう求められています。 多くの政府機関およびその政府機関とビジネスを行う民間組織は、最低限のセキュリティ監視レベルを維持するよう法律で義務付けられています。 予防的なセキュリティ管理を怠ると、経営陣と組織全体が守秘および法律上の義務違反に問われる場合があります。
効果的な方法
マイクロソフトのセキュリティ リスク管理手法は、これらの環境および法律上の課題によって示された要件に対応することによって、あらゆる規模の組織を支援できる予防的な方法です。 公式のセキュリティ リスク管理プロセスによって、企業はビジネス リスクを既知の許容可能なレベルに保ちながら、コスト効率の最も高い方法で事業を行うことができます。 また、リスクを管理するために、限られたリソースを構成して優先順位を付ける、一貫した、明確な経路も組織に提供されます。 リスクを許容レベルに下げる、費用対効果が高い制御を実装すると、セキュリティ リスク管理を使用する利点を実感できます。
許容できるリスクの定義とリスクの管理方法は、組織ごとに異なります。 正解も不正解もありません。その証拠に、現在、多くのリスク管理モデルが使用されています。 各モデルにはトレードオフがあり、正確性、リソース、時間、複雑さ、および主観性を微妙に調整しています。 しっかりした枠組み、および明確に定義された役割と責任を持つ、リスク管理プロセスに投資すれば、組織は、優先順位を明確に示し、脅威への対策計画を作成して、ビジネスに対する次の脅威や脆弱に対処する態勢が整います。 さらに、効果的なリスク管理プログラムによって、企業は、新しい法律上の要件を満たすための作業を大幅に促進させることができます。
セキュリティ リスク管理におけるマイクロソフトの役割
これは、セキュリティ リスク管理のみに焦点を当てた、マイクロソフトが公開する初めての規範的なガイドです。 このガイドは、マイクロソフト自体の経験とお客様の経験の両方に基づいており、作成にあたってはお客様、パートナー、および技術レビュー担当者によってテストされ確認されています。 この作業の目的は、次のような多くの利点を備えたセキュリティ リスク管理プロセスの実装方法について、明確ですぐに利用できるガイダンスを提供することです。
お客様を予防的なセキュリティ意識に移行させ、ストレスの溜まる対処的なプロセスから解放する。
セキュリティ プロジェクトの価値を表示して、セキュリティを測定可能にする。
限られたリソースをすべてのリスクに適用する代わりに、顧客の環境における最大のリスクを効率的に軽減できるように顧客を支援する。
ガイドの概要
このガイドは業界標準を使用して、コストと効果のバランスを求める反復的な 4 フェーズのプロセスで、確立されたリスク管理モデルの混成を提供します。 リスク評価プロセスでは、定性的な手順によって最も重要なリスクをすばやく特定します。 慎重に定義された役割と責任に基づく定量的プロセスが、その後に続きます。 この方法は非常に細かく、最も重要なリスクを十分に理解することができます。 リスク評価プロセスの定性的および定量的な手順が組み合わされることにより、インテリジェントなビジネス プロセスに従って、リスクと対策に関する確固とした決定を行える基盤を提供します。
注 : この概要で説明する概念の中にまったく知らないものがあっても、気にしないでください。以降の章で詳しく説明します。 たとえば、「第 2 章 : セキュリティ リスク管理方法の概観」では、リスク評価の定性的な方法と定量的な方法の違いについて説明します。
マイクロソフト セキュリティ リスク管理プロセスにより、組織は、それぞれの IT 環境内のリスクを特定して優先順位を付けるプロセスを実装および維持することができます。 顧客の関心を対処的なものから予防的なものに移行すると、環境内のセキュリティは抜本的に改善されます。 そして、セキュリティが改善されると、IT インフラストラクチャの可用性を向上させたり、ビジネス上の価値を高めることが実現しやすくなります。
マイクロソフト セキュリティ リスク管理プロセスは、純粋な定量分析、セキュリティ投資収益率 (ROSI) 分析、定性分析、ベスト プラクティス手法などの、さまざまな手法の組み合わせを提供します。 このガイドではプロセスについて説明しており、特定のテクロノジの要件については説明していないことに注意してください。
重要な成功要因
組織全体でセキュリティ リスク管理プログラムの実装を成功させる鍵はたくさんあります。 それらのいくつかは特に重要なので、ここで説明します。その他については、この章の後半にある「成功するための鍵」の項で説明します。
まず、経営陣の支援と確約がないとセキュリティ リスク管理は失敗します。 経営トップの指揮でセキュリティ リスク管理が行われる場合、組織は、ビジネスに対する価値の点から見たセキュリティを明らかにすることができます。 次に、役割と責任の明確な定義は成功に不可欠です。 事業主はリスクの影響を特定する責任があります。 また、職務を果たすのに必要な資産のビジネス価値を明確にする、絶好の地位にもいます。 情報セキュリティ グループは、現在および提案された制御方法を考慮して、リスクが起こる確率を特定する役目を負います。 情報技術グループは、悪用の確率が許容できないリスクに達した場合、セキュリティ運営委員会が選択した制御を実装する責任があります。
次の手順
しっかりとした実現可能なプロセスで構成され、役割と責任が定義されたセキュリティ リスク管理プログラムに投資することで、組織は、優先順位を明らかにして、脅威への対策計画を作成し、重大なビジネスの脅威や脆弱に対処する準備が整います。 このガイドを使用して、自社の準備具合を評価し、セキュリティ リスク管理機能の方向性を決定してください。 サポートが必要な場合は、マイクロソフト アカウント チームまたはマイクロソフト サービス パートナーにお問い合わせください。
対象読者
このガイドは基本的に、アプリケーションまたはインフラストラクチャの開発および複数プロジェクトへの展開を計画するコンサルタント、セキュリティ専門家、システム設計者、および IT 技術者を対象として作成されています。 これらの役割には、次の一般的なジョブの説明も含まれます。
組織でアーキテクチャの運営に当たる設計者またはプランナ
組織内のさまざまなプラットフォームでセキュリティ対策に取り組む情報セキュリティ チームのメンバ
重要なビジネス資産を保護するための適切な措置を組織が講じていることを確認する責任のあるセキュリティおよび IT 監査担当者
IT のサポートを要求とし、重要なビジネスの目的を持つ上級管理職、ビジネス アナリスト、およびビジネス ディシジョン メーカー (BDM)
企業ユーザーとパートナーに情報を伝達するためのツールを必要とするコンサルタントとパートナー
このガイドが対象とする範囲
このガイドは、あらゆる規模と種類の組織で成功するセキュリティ リスク管理プロセスを計画、確立、および維持する方法を中心に説明しています。 リスク管理プロジェクトの各フェーズを実行する方法と、セキュリティ リスクを軽減する最も便利でコスト効率の高い制御を組織に実装させる継続的なプロセスにプロジェクトを移行する方法について説明します。
内容の概要
『セキュリティ リスク管理ガイド』は、以降で簡単に説明する 6 章で構成されています。 各章は、組織内で継続的なセキュリティ リスク管理プロセスを効率的に開始して運用するのに必要な、エンドツーエンドの作業に基づいています。 これらの章の後に、組織がセキュリティ リスク管理プロジェクトを構成するのに役立つ付録とツールが掲載されています。
第 1 章 : セキュリティ リスク管理ガイドの紹介
この章ではこのガイドについて紹介し、各章について簡単に説明します。
第 2 章 : セキュリティ リスク管理方法の概観
組織がこれまでセキュリティ リスク管理に取り組んできたさまざまな方法を調べて、マイクロソフト セキュリティ リスク管理プロセスの基盤を固めることが重要です。 セキュリティ リスク管理に精通している読者は、この章にざっと目を通すだけでかまいません。セキュリティ リスク管理にあまり詳しくない読者は、しっかり目を通してください。 この章では、まず、予防型および対処型リスク管理アプローチの長所と欠点について概説します。 次に、「第 1 章 : セキュリティ リスク管理ガイドの紹介」で紹介した組織のリスク管理成熟度の概念について詳しく説明します。 最後に、従来からの 2 つの方法、定性的リスク管理と定量的リスク管理を比較して評価します。 これらの 2 つの方法の間でバランスをとり、マイクロソフト内で効果が実証されたプロセスを代替方法として提示します。
第 3 章 : セキュリティ リスク管理の概要
この章では、マイクロソフト セキュリティ リスク管理プロセスについてさらに詳しく説明し、重要な概念と成功の鍵の一部を紹介します。 効率的な計画を使用して、役割と責任がしっかり定義された強力なセキュリティ リスク管理チームを編成することによってプロセスの準備を行う方法について、アドバイスも提供します。
第 4 章 : リスクの評価
この章では、マイクロソフト セキュリティ リスク管理プロセスの「リスクの評価」フェーズについて詳しく説明します。 このフェーズには、計画、簡易データ収集、リスクの優先順位付けなどのステップがあります。 リスク評価プロセスは多くのタスクで構成され、その中には大規模な組織にとって要求が厳しすぎるタスクもあります。 たとえば、ビジネス資産の価値を特定して判定するのに、多くの時間がかかる場合があります。 脅威と脆弱性の特定など、その他のタスクにはかなりの技術的専門知識が必要です。 これらのタスクに関連する課題は、「第 3 章 : セキュリティ リスク管理の概要」で強調されているように、適切な計画作成としっかりしたセキュリティ リスク管理チームの編成の重要性を明らかにします。
総括的なリスクの優先順位を付ける際、セキュリティ リスク管理チームは定性的な方法を使用して、セキュリティ リスクの一覧全体の優先順位を決定し、さらなる分析が必要な最も重要なリスクをすばやく特定できるようにします。 上位のリスクは、その後、定量的な方法を使用して詳しく分析されます。 これにより、チームが次のフェーズで適切な判断を行うために使用できる、最も重要なリスクと詳細な測定基準についての簡潔な一覧が得られます。
第 5 章 : 意思決定支援の実行
このプロセスの「意思決定支援の実行」フェーズでは、セキュリティ リスク管理チームは、最も効果的かつ効率的に主要なリスクに対処する方法を決定します。 チームは制御を特定し、各制御の取得、実装、およびサポートに関連するコストを決定して、各制御によって実現されるリスク軽減度を評価します。そして、最後にセキュリティ運営委員会と協力して、実装する制御を決定します。 この結果、「リスクの評価」フェーズで特定された上位の各リスクを制御または受け入れるための、明確ですぐに利用できる計画が作成されます。
第 6 章 : 制御の実装とプログラムの効果の測定
この章では、マイクロソフト セキュリティ リスク管理プロセスの最後の 2 つのフェーズ、「制御の実装」と「プログラムの効果の測定」について説明します。 「制御の実装」フェーズについては、特に説明する必要はありません。対策責任者が、意思決定支援プロセスで明らかになった制御ソリューションの一覧に基づいて計画を作成して実行し、「リスクの評価」フェーズで特定したリスクを軽減します。 この章には、組織の対策責任者がさまざまなリスクに対処する際に役立つ、規範的なガイダンスへのリンクが掲載されています。 「プログラムの効果の測定」フェーズは、前のフェーズで実装された制御が、必要な保護レベルを実際に提供していることを確認する、セキュリティ リスク管理チームが定期的に継続して行うフェーズです。
このフェーズの別の手順では、セキュリティ リスク管理全体からみた組織の全体的な進捗状況を予測します。 この章では、組織の実施状況を追跡するのに使用できる "セキュリティ リスク スコアカード" の概念について紹介します。 最後には、システムやアプリケーションの追加と削除、新しい脅威や脆弱性の出現など、コンピューティング環境の変化を監視する重要性について説明します。 このような変化があった場合、組織はすぐに対応して新しいリスクや変化したリスクから防御する必要があります。
付録 A: ad-hoc 評価
この付録では公式なエンタープライズ リスク評価プロセスを、多くの組織が行っている ad-hoc アプローチと比べます。 各方法の長所と欠点を示し、どちらがどのような場合に最も有用であるのかを説明します。
付録 B: 一般的な情報システム資産
この付録には、さまざまな種類の組織で一般的に使用されている情報システム資産の一覧が掲載されています。 この一覧は包括的なものではないので、各組織に固有な環境に存在する資産の一部が含まれていない可能性があります。 したがって、リスク評価プロセス中に一覧をカスタマイズする必要があります。 これは、組織がプロジェクトを開始する際に役立つ参考一覧および起点として提供されています。
付録 C: 一般的な脅威
この付録には、さまざまな組織に影響を与える可能性のある脅威の一覧が掲載されています。 この一覧は包括的なものではなく、また静的なものなので最新の情報ではありません。 したがって、自分の組織に関係ない脅威を削除して、プロジェクトの評価フェーズで新しく特定された脅威を一覧に追加する必要があります。 これは、組織がプロジェクトを開始する際に役立つ参考一覧および起点として提供されています。
付録 D: 脆弱性
この付録には、さまざまな組織に影響を与える可能性のある脆弱性の一覧が掲載されています。 この一覧は包括的なものではなく、また静的なものなので最新の情報ではありません。 したがって、自分の組織に関係ない脆弱性を削除して、リスク評価プロセスで新しく特定された脆弱性を一覧に追加する必要があります。 これは、組織がプロジェクトを開始する際に役立つ参考一覧および起点として提供されています。
ツールおよびテンプレート
組織がマイクロソフト セキュリティ リスク管理プロセスを簡単に実装できるように、このガイドにはツールとテンプレートが付属しています。 これらのツールとテンプレートは、ダウンロード センターから入手できる自己解凍型の WinZip アーカイブに収められています。 ダウンロードしたアーカイブには、このガイドのコピーも含まれています。 ダウンロードしたアーカイブからファイルを解凍すると、指定した場所に次のフォルダ構造が作成されます。
\セキュリティ リスク管理ガイド — このガイドの Portable Document Format (PDF) ファイル バージョンが収められています。
\セキュリティ リスク管理ガイド\ツールおよびテンプレート — 次のファイルが収められています。
データ収集テンプレート (SRMGTool1-Data Gathering Tool.doc)。 「第 4 章 : リスクの評価」で説明するワークショップの「リスクの評価」フェーズで、このテンプレートを使用できます。
概要レベル リスク分析ワークシート (SRMGTool2-Summary Risk Level.xls)。 組織はこの Microsoft® Excel ワークシートを使用して、リスク分析の最初の関門である概要レベル分析を実行できます。
詳細レベル リスク分析ワークシート (SRMGTool3-Detailed Level Risk Prioritization.xls)。 組織はこの Excel ワークシートを使用して、概要レベルの分析中に特定された上位のリスクに対して徹底的な分析を行うことができます。
サンプル スケジュール (SRMGTool4-Sample Project Schedule.xls)。 この Excel ワークシートには、マイクロソフト セキュリティ リスク管理プロセスの高度なプロジェクト スケジュールが表示されています。 このガイド全体で説明するフェーズ、手順、およびタスクが含まれています。
成功するための鍵
組織が大きなプロジェクトに着手する場合、成功を収めるには、常にさまざまな基本的要素を整える必要があります。 マイクロソフトは、セキュリティ リスク管理プロセスを成功させるために事前に準備し、プロセスの実行中も有効な状態に保つ必要のある構成要素を特定しました。 それには、次のようなものがあります。
エグゼクティブ スポンサーシップ
リスク管理関係者の適切に定義された一覧
リスク管理に関する組織の成熟度
自由に意見が言い合える雰囲気
チームワークの精神
組織に対する総体的な見解
セキュリティ リスク管理チームの権限
以降の項では、セキュリティ リスク管理プロセス全体で必要なこれらの要素について説明します。特定のフェーズのみに関連する追加要素については、各フェーズを説明する章で明らかにします。
エグゼクティブ スポンサーシップ
経営陣は、セキュリティ リスク管理プロセスを明確かつ積極的に支援する必要があります。 このスポンサーシップがないと、関係者が、リスク管理を使用して組織をより安全にする取り組みに抵抗したり妨害する場合があります。 また、明確なエグゼクティブ スポンサーシップがないと、各社員が、自分の仕事のやり方や、組織の資産を保護する方法に対する指示を無視する場合があります。 社員が協力しない理由は、いろいろ考えられます。 その中には、変化に対する一般的な抵抗、効果的なセキュリティ リスク管理の重要性に対する認識の欠如、ビジネス資産の保護方法に関する社員の見識がセキュリティ リスク管理チームほど広くも深くもないのに各社員が完全に理解しているという誤解、組織内の自分の属する部門は、潜在的な攻撃者から狙われることはないという過信などがあります。
スポンサーシップとは、次のことを意味します。
明確化されたプロジェクト範囲に対する権限と責任をセキュリティ リスク管理チームに委任する
必要な場合、全スタッフの参加を支援する
要員や資金などの十分なリソースを配分する
セキュリティ リスク管理プロセスを明確かつ積極的に支援する
セキュリティ リスク管理プロセスの結果と推奨事項の見直しに参加する
リスク管理関係者の適切に定義された一覧
このガイドには、関係者という用語がよく出てきます。ここでは、セキュリティ リスク管理プロセスの結果に既得権を持つ、組織のメンバを意味します。 セキュリティ リスク管理チームは、関係者全員を把握する必要があります。これには、エグゼクティブ スポンサーだけでなく、コア チーム自体も含まれます。 他に、評価対象のビジネス資産を所有する人も含まれます。 ビジネス資産の設計、展開、管理を担当し、それらに対する責任を負う IT 担当者も重要な関係者です。
関係者を特定して、セキュリティ リスク管理プロセスに参加できるようにする必要があります。 セキュリティ リスク管理チームは、関係者がプロセス自体と、それが資産の保護とコストの節約に長期的に役立つことを理解できるように、時間をかけて説明する必要があります。
リスク管理に関する組織の成熟度
現在、セキュリティ リスク管理プロセスが採用されていない組織に、マイクロソフト セキュリティ リスク管理プロセスを一度に全部実装しようとすると、変更が多すぎる場合があります。 組織に、特定のセキュリティ問題に対応して起動されるアドホック作業などの非公式のプロセスがある場合でも、このプロセスは対処しきれない可能性があります。 しかし、リスク管理に関する成熟度が高い組織では、このプロセスは有効です。成熟度は、セキュリティ プロセスが十分に定義されていること、組織の多くのレベルでセキュリティ リスク管理が完全に理解されて受け入れられていることなどによって証明されます。 「第 3 章 : セキュリティ リスク管理の概要」では、セキュリティ リスク管理成熟度の概念と組織の成熟レベルの算出方法について説明します。
自由に意見が言い合える雰囲気
多くの組織とプロジェクトは、単に "関係者以外に開示しない体制" で行われるため、しばしば誤解が生じたり、成功したソリューションをチームが配布できないことがあります。 マイクロソフト セキュリティ リスク管理プロセスでは、チーム内と主要な関係者間の両方で、自由かつ率直に意見交換を行う必要があります。 自由な情報の流れは、誤解と無駄な努力のリスクを減らすだけでなく、すべてのチーム メンバがプロジェクトに伴う不確実性の減少に貢献できるようにします。 リスクの特定や、そのリスクを効果的に軽減させる制御の種類について自由に率直に議論を交わすことは、プロセスの成功に欠かせません。
チームワークの精神
マイクロソフト セキュリティ リスク管理プロセスの全参加者の関係の強さと活力は、作業に大きな影響を与えます。 経営陣からの支援に関係なく、セキュリティ要員と経営陣、および組織の残りの人との間に生まれた関係は、プロセスの全体的な成功にとって重要です。 セキュリティ リスク管理チームが、プロジェクト全体で一緒に作業するさまざまなビジネス ユニットからの各代表者とチームワークの精神を育むことは非常に重要です。 チームがこれを促進するには、各ビジネス ユニットからのマネージャ個人にセキュリティ リスク管理のビジネスにおける価値を効果的に実証し、最終的にはこのプロジェクトによって各自の仕事がいかに効率化されるかをスタッフ メンバに示します。
組織に対する総体的な見解
マイクロソフト セキュリティ リスク管理プロセスの全参加者、特にセキュリティ リスク管理チームは、作業中、組織全体を考慮する必要があります。 ある特定の社員にとっては最善でも、組織全体にとっては最善でない場合がよくあります。 同様に、あるビジネス ユニットに最も有益なことが、組織にとって最大の利益にならない場合があります。 特定のビジネス ユニットのスタッフやマネージャは本能的に、自分と組織内の自分の部署が得をする結果になるようにプロセスを進めようとします。
プロセス全体の権限
マイクロソフト セキュリティ リスク管理プロセスの参加者には、組織にとって最も重要なセキュリティ リスクを特定して制御する責任があります。 適切な制御を実装してこれらのリスクを効果的に軽減するには、適切な変更を行うのに十分な権限も必要です。 チーム メンバには、割り当てられた責任に見合う権限が与えられている必要があります。 権限を与えるには、チーム メンバが、作業を実行するのに必要なリソースを与えられ、作業に影響を与える決定に責任を持ち、自分の権限の限界と、これらの限界を越える問題を処理するのに使用できるエスカレーション パスを理解する必要があります。
用語と定義
セキュリティ リスク管理に関する用語は、理解するのが難しい場合があります。 場合によっては、簡単に認識される用語が、人によって解釈が異なることがあります。 これらの理由から、このガイドの著者がこのガイドに出てくる重要な用語に使用した定義を各自が理解することはとても重要です。 次に示す定義の多くは、国際標準化機構 (ISO) とインターネット技術標準化委員会 (IETF) の 2 つの機関が発行した文書を参考にしています。 これらの機関の Web アドレスは、この章の最後にある「関連情報」の項に掲載されています。 次の一覧は、セキュリティ リスク管理の主要なコンポーネントに関する統一見解を示したものです。
年間予想被害額 (ALE) — リスクを軽減する措置を何もとらなかった場合に組織が 1 年間に受ける被害の総額。
年間発生率 (ARO) — 1 年間にリスクが発生すると予想される回数。
資産 — ハードウェアやソフトウェア コンポーネント、データ、人材、ドキュメントなど、組織にとって価値のあるすべてのもの。
可用性 — 権限のあるシステム ユーザーが、必要なときにアクセスまたは使用できることを保証する、システムまたはシステム リソースの性質。 可用性は、安全なシステムの核となる特性の 1 つです。
CIA — 「機密性」、「完全性」、および「可用性」を参照。
機密性 — 情報が、承認されていない個人、団体、またはプロセスに利用可能になったり開示されたりしないという性質 (ISO 7498-2)。
制御 — 組織、手順、またはテクノロジによるリスク管理手段。保護手段または対策の同義語です。
費用対利益分析 — 最も効果的な制御を実装するために、提案された各制御に関連する相対価値とコストを予測および比較すること。
意思決定支援 — 費用対利益分析に基づくリスクの優先順位付け。 リスクを軽減するセキュリティ ソリューションのコストは、リスクを軽減するビジネス上の利点と比較して検討されます。
多層防御 — 単一のセキュリティ コンポーネントが失敗した場合に備えて、複数層のセキュリティを使用する方法。
悪用 — ビジネス活動や情報セキュリティに危害を加えるために脆弱性を利用すること。
エクスポージャ — 脅威の働きの 1 つ。これにより機密性の高いデータが承認されていない団体に直接公開される (RFC 2828)。 マイクロソフト セキュリティ リスク管理プロセスでは、この定義をビジネス資産に対する損害の範囲に限定しています。
影響 — 脅威が資産に対して脆弱性を悪用した場合に予想されるビジネス上の全体的損失。
完全性 — 不正な方法でデータが改ざんされたり破壊されたりしないという性質 (ISO 7498-2)。
対策 — 潜在的な脅威に対抗するように設計された処理を行って、リスクに対処すること。
対策ソリューション — 制御を実装すること。セキュリティ リスクを管理するために、組織、手順、またはテクノロジに関する制御が採用されます。
確率 — イベントが発生する可能性。
定性的リスク管理 — 参加者が資産、リスク、制御、および影響に相対的な値を割り当てるリスク管理方法。
定量的リスク管理 — 参加者が資産、リスク、制御、および影響に客観的な数値 (たとえば、金額) を割り当てようとするリスク管理方法。
信頼度 — 一般の人が組織に対して持つ評価。ほとんどの組織の信頼度は無形で計算が困難ですが、実際の値として表示されます。
セキュリティ投資収益率 (ROSI) — セキュリティ制御を実装することによって、組織が 1 年間に節約できると予想される総額。
リスク — イベントの確率とその結果の組み合わせ (ISO ガイド 73)。
リスク評価 — リスクを特定し、これらのリスクの影響を決定するプロセス。
リスク管理 — リスクの許容レベルを決定し、リスクの現在のレベルを評価し、リスクを許容レベルに下げる措置を講じて、リスクをそのレベルで維持するプロセス。
個別予想被害額 (SLE) — リスクが 1 回発生した場合に失われる総収益額。
脅威 — システムまたは組織に対する悪影響の潜在的な原因 (ISO 13335-1)。
脆弱性 — 情報資産が、脅威による悪用を受けやすくする弱点、管理プロセス、行為または物理的エクスポージャ。
表記規則
このガイドでは、次の表記規則と用語が使用されます。
表 1.1: 表記規則
| 語 | 意味 |
|---|---|
| 注 | 読者に補足情報を示します。 |
| Woodgrove の例 | 内容が架空のサンプル企業 "Woodgrove Bank" に関連していることを読者に示します。 |