叡智の三猿

~森羅万象を情報セキュリティで捉える~

リスク分析:気になる情報セキュリティ用語

情報セキュリティ対策におけるリスク分析とは、情報を抱えている守るべきシステムが脅威にさらされたとき、どんなことが起こりうるかを明確にしておくことです。

リスク分析の手法は、定量的リスク分析と定性的リスク分析があります。

  • 定量的リスク分析:リスクを損失額などの具体的な数字で見積もる手法(ALEなど)。
  • 定性的リスク分析:質問表などを使用してリスクを見積り、リスクのレベルを評価する手法(GRAMMなど)。

定量的リスク分析とは、リスクを損失額などの具体的な数字で見積もる手法であり、その代表的な手法としてALEがある。ALEは、米国標準技術院(NIST)が開発したリスク分析手法であり、リスクの発生頻度と損失額を計算し、対応策やそのための資金を決定する。
~「情報セキュリティ管理士・公式問題集」より





定量的リスク分析は、リスクを損失額などの具体的な数字で見積もる手法で代表的な手法はALEです。次のように求めます。

ALEによるリスク分析