非形式的アプローチとは、リスク分析手法のひとつで、セキュリティ専門家の経験や直感をもとにリスクを評価する方法です。
この手法の最大のメリットは、自社特有のリスクを把握しやすい点と、分析にかかる工数が少なく済む点です。専門家の知見を直接活かせるため、スピーディーな対応が可能です。
一方でデメリットもあります。担当者の主観に左右されやすいため、分析の質にばらつきが生じやすくなります。また、最新の脅威への対応や継続的なセキュリティ改善が難しいという課題もあります。
そのため、非形式的アプローチは小規模な組織や、迅速な判断が求められる場面には適していますが、組織全体の体系的なリスク管理には他の手法との併用が望ましいといえます。
一般財団法人日本情報経済社会推進協会のISMSユーザーズガイド(リスクマネジメント編)などが、情報セキュリティリスクアセスメントを実施するためのアプローチとして、ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、組み合わせアプローチの4つを紹介している。これらのアプローチに関する記述として最も適切なものはどれか。
| ア | ベースラインアプローチとは、システムの最も基本的な部分を選び、これに確保すべき一定のセキュリティレベルを設定して、現状とのギャップをリスクとして評価することを指す。 |
| イ | 非形式的アプローチとは、組織や担当者の経験や判断によってリスクを評価することを指す。 |
| ウ | 詳細リスク分析とは、システムをサブシステムに分解し、そのシステムごとにリスク評価を行うことを指す。 | エ | 組み合わせアプローチとは、システムをサブシステムに分解し、その組み合わせすべてについてリスク評価を行うことを指す。 |
答え:イ
ア:一般の情報セキュリティに関する基準などを参照に、共通のセキュリティ対策を実施する手法のため誤りです。ウ:対象の資産に対して、「資産価値」、「脅威」、「脆弱性」やセキュリティ要件を設定して評価することです。エ:ベースラインアプローチと詳細リスク分析を併用する手法のため誤りです。
