リスク管理†
- リスクを分析・評価して適切な処置を施すことで、損失を最小限に抑える活動のこと
リスク管理のプロセス†
- 下記のプロセスを繰り返し行う
- リスクアセスメント
- リスク対応方法の洗い出し
- リスク対応の実施
- リスク・リスク対応方法の見直し
リスク について†
リスクの種類†
- 純粋リスク
- 単にデメリットしか生まないリスク
- 損失が発生する可能性のある不確実性のこと
- 投機的リスク
- 利益を生む可能性があるリスク
- 利益と損失のいずれかが発生する可能性のある不確実性のこと
情報リスクの構成要素†
リスクと損失の関係†
- リスクが顕在化することで生じた期待する状態との差異が損失となる
- 損失の種類
リスクアセスメント†
- 情報資産に対するリスクの顕在化の確率や、顕在化した場合の損失の規模を測定して、有効な対策を導き出すこと
- リスクアセスメントの範囲
リスク分析†
リスク分析の手法(分析のアプローチ)†
- ベースラインアプローチ (簡易リスク分析)
- 公開されている基準やガイドラインに基づいた質問に回答することで行う簡易的な分析
- 非公式アプローチ
- 分析者の知識と経験によって行う分析。分析者の能力と主観が分析結果の精度に影響する。
- 詳細リスク分析
- 情報資産、脅威、脆弱性を洗い出して評価する。適切に評価されていれば客観的な評価ができる。
- 組合せアプローチ
- 全体を簡易的に分析してから、対象を絞って詳細リスク分析を行う。簡易分析が適切でないと、評価結果が偏り誤認識が生じる。
リスク分析の手法(リスクの調査手法)†
- アンケート
- チェックリスト
- ドキュメントレビュー
- 現地調査
- インタビュー
- リスク分析ツール
- 脆弱性検査ツール
リスク分析の手法(リスクの大きさ(強度)の評価)†
定性的リスク分析†
- リスクの性質の側面から分析して、リスクの優先度を評価する
- リスクの分野ごとの影響度
- リスクの発生確率と影響度
定量的リスク分析†
- 定性的リスク分析で優先度が「高い」と評価されたリスクに対して、リスクの量的な側面から分析して、リスクを数値化する
- 数値化とは
- リスクが発生した場合に影響を受ける費用の見積り
- リスクによって発生する作業の所要日数の見積り
- 数値化の方法(予測損失量を求める方法)
- 三点見積り
- 楽観値:楽観的な損失
- 最頻値:最も起こり得る損失
- 悲観値:悲観的な損失
- 予測損失量 = (楽観値 + 4 * 最頻値 + 悲観値) / 6
- リスクの大きさを金額や工数のような値(実数)で表す
リスク分析の手法(団体が開発した手法)†
リスク対応†
リスク対応の分類†
- リスクコントロール
- 潜在的なリスクの発生を抑止し、損失を低減させること
- リスクファイナンシング
- リスクの顕在化による損失の発生の備えとして、損失の補填や対応費用を確保しておくこと
- リスクの受容
- 認識しているが対処しきれないリスクの対処を行わない選択をすること
リスク対応の手法 (リスクコントロール)†
- リスク回避
- リスク発生の根本原因を排除する
- サービスの利用を止める、サービスの提供を終了するなど
- リスク低減
- リスク分離
- リスク発生により損失を受ける資産を小さな単位に分割・分散する
- リスク集中
- 損失予防
- 損失軽減
- リスク移転
- 契約などによりリスクを第三者に移転する
- リスクのある業務をアウトソーシングするなど
リスク対応の手法 (リスクファイナンシング)†
- リスク移転
- リスク発生による損失の負担を外部に移転する
- 保険に加入するなど
PMBOK におけるリスクマネジメント†
リスクとは†
- リスク
- 残留リスク
- (脅威 × 脆弱性 × 資産価値) × コントロールギャップ
リスク管理に関係する規格†
- ISO 31000:2018
- JIS Q 31000:2010
- リスクマネジメント-原則及び指針
- ISO/IEC 31010:2009
- JIS Q 31010:2012
- リスクアセスメント-リスクアセスメント技法
関連サイト†
関連用語†
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
