リスク
定義
リスクとは「脅威が脆弱性を突いた場合に生じる潜在的な損害の大きさ」で、一般に「リスク = 脅威の発生可能性 × 影響度」で表現されます。同じ脆弱性でも、それが組織の重要資産に関わるものか・攻撃者が実際に狙っているかによって現実のリスクレベルは大きく変わります。リスク管理では「特定→評価→対応→監視」のサイクルを繰り返し、対応策には①低減(技術的対策)②移転(サイバー保険・アウトソース)③回避(該当システムを使わない)④受容(対策コストより損失が小さい場合)の4種類があります。ISO 27001・NIST CSF・SOC 2などのフレームワークに共通するのは「すべてを守ろうとするのではなく、リスクの高いものから優先的に対策する」という思想です。経営判断としてのリスク受容はドキュメント化と定期的な見直しを行い、残留リスクを常に見える化しておくことが重要です。
関連用語
よくある質問
リスクとは?
脅威が脆弱性を突いた場合に組織や資産に生じる潜在的な損害の大きさ。リスク = 脅威の可能性 × 影響度。リスク管理ではリスクの特定・評価・対応・監視を繰り返す。
同じカテゴリの用語(基礎概念)
ユーザー、端末、リソース、場所、時刻などの属性を条件にしてアクセス可否を判断する方式。…
誰が、いつ、何にアクセスし、どの操作を行ったかを追跡するための監査用ログ。…
侵害や障害が起きたときに影響が広がる範囲。権限、ネットワーク、データ連携、依存関係で変わる。…
ブラウザ拡張機能が閲覧データ、タブ、サイト、Cookie、ストレージなどへアクセスするために要求する権限。…
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Ava…
インシデント対応中に関係者が連絡、判断、報告を行うためのチャット、電話、会議、チケットなどの連絡経路。…