1. リスク値の定義
- リスク値 = 「資産の重要度」 × 「脅威レベル」 × 「脆弱性レベル」
- 各評価が 1〜3 の整数値であるため、リスク値は 最小 1、最大 27 になります。
- 値が大きいほど、その資産は「リスクが高い」と判断されます。
2. 算出の流れ
- 資産の重要度を評価(ステップ2)
- 被害の大きさを 1~3 で評価。
- 脅威レベルを評価(ステップ3)
- 攻撃が成立する可能性を 1~3 で評価。
- 脆弱性レベルを評価(ステップ4)
- 防御の強さ(対策レベル)に応じて 1~3 を割り当て。
- 掛け合わせてリスク値を算出
- 例:重要度3 × 脅威2 × 脆弱性3 = 18 → 高リスク。
3. リスク値の評価基準(例)
リスク値を「高・中・低」で分類して、優先度をつけます。
| リスク値 | リスク判定 | 対応方針の例 |
|---|---|---|
| 20~27 | 高リスク | 直ちに対策を検討・導入する必要あり |
| 10~19 | 中リスク | 優先順位を考慮し、計画的に対策を実施 |
| 1~9 | 低リスク | 現状維持またはモニタリングで対応可 |
※ この閾値は業界・組織のリスク許容度に応じて調整可能です。
4. 出力(成果物)
- リスク一覧表
資産ごとに重要度、脅威レベル、脆弱性レベル、リスク値をまとめた表を作成します。
例:
| 資産名 | 重要度 | 脅威レベル | 脆弱性レベル | リスク値 | 判定 |
|---|---|---|---|---|---|
| 中央監視サーバ | 3 | 3 | 2 | 18 | 中 |
| PLC(制御装置) | 3 | 2 | 3 | 18 | 中 |
| HMI端末 | 2 | 2 | 2 | 8 | 低 |
| ネットワークSW | 2 | 3 | 3 | 18 | 中 |
5. 活用方法
- リスク値が高い資産 → 優先的に追加対策を導入(多層防御、監視強化、バックアップ強化など)。
- 中リスク資産 → 計画的に改善し、状況に応じて監視や補強。
- 低リスク資産 → 現状維持を基本とし、定期的に再評価。
✅ まとめると:
リスク値は、重要度・脅威・脆弱性を掛け合わせて定量化し、資産ごとのリスクを比較・優先度付けするための指標です。これにより「どの資産にどの順番でセキュリティ対策を行うべきか」が明確になります。
https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
コメント