情報資産の具備要件
情報資産はその特性として「機密性」、「保全性」、「可用性」を備えていることが求められる。
| 機密性(C) | 許可された人意外はアクセスできない。 |
| 保全性(I) | 内容に抜け盛れ、改ざんがない。 |
| 可用性(A) | 予め許可された時はいつでも利用できる。 |
Confidentiality, Integrity, Availability
資産価値
情報資産の価値評価はどのように行うか。情報資産の獲得・形成に要した費用とか、情報資産を失ったときの損害額とかが考え付く。
必ずしもお金を掛けたから価値の高いものが出来上がる分けではないという意味では、損害額に注目すればよいが、情報資産獲得形成の費用はやはりどこかで見ておきたい。
| 獲得・形成時の費用 | 投資額。初期とランニング。 |
| 紛失・漏洩時の損害 | CIA各側面から評価。←RAは専らこの切り口? |
別件になるが、上記のデータは情報化投資における投資対効果を評価する時の一つのデータになり得るのではないだろうか。
リスク・アセスメント
リスク・アセスメントとは、保有する情報資産について、「機密性」、「保全性」、「可用性」の各観点から、「資産価値」、「脅威の程度レベル」、「脆弱性の程度レベル」を明確にし、結果として「リスクの程度レベル」(リスク値)を具体的にすることである。
|
リスク = 資産価値 * 脅威 * 脆弱性 |
リスクの定量化
- 情報資産の棚卸し
- 資産価値決定のための基準作成
- 脅威決定のための基準作成
- 脆弱性決定のための基準作成
- 受容レベルの決定
- 資産別リスク値の算定
- 受容レベル以上の資産への管理策選択
この一連の作業(1→N)はワンパスで終了する訳でない。最初のISMS構築プロセスでも試行錯誤することになる。ISMS構築後も年1回の見直しが必要。
一連の作業を進めるための演習サンプル。情報資産の全数を評価するとなるとあまり実際的ではないが、評価をどのように行うかをイメージするには良い。
実際はITを使った管理にしないと。紙では無理っぽい。簡易的なツールのリリースが待たれる。
