リスクセスメント(risk assessment)で、脅威を適切に分析して評価し、 それから適切な管理策が導かれる訳ですが、そのリスクセスメント方法の簡単なイメージを示します。

 リスクアセスメント

行われる手法の一つで、リスクを数値化する手法があります。
次のように各情報を数値化して求めます。

【1】資産価値:機密性、完全性、可用性より数値化
【2】脅威の値:対策しない場合に発生する可能性
【3】攻撃の難易度:容易、普通、困難などと分け、困難なほど低い値
【4】管理レベルの値:対策を講じていない度合いの数値
以下で各値の設定例を示します。

【1】資産価値
まず「情報資産の洗い出し」で項目を列挙します。 (同じ情報でも記憶媒体が変れば分けるべきです。)
そして各項目において、機密性(confidentiality)、完全性(integrity)、可用性(availability) それぞれのレベルで数値化します。 (資産価値は、大きな値の方が大きくなります。) 以下に例を示します。





これらの具体的な値が決まっている訳ではありません。 各組織に合った形態で決定されます。また、機密性、完全性、可用性それぞれで リスク分析を行う場合や、どれかの最高値を資産価値の値にする方法や、 それぞれの値に対して資産価値への換算方法を決めておくなど 様々です。

【2】脅威の値

【3】攻撃の難易度

【4】管理レベルの値