ベースラインアプローチとは、リスク分析手法のひとつで、あらかじめ確保すべきセキュリティレベル(ベースライン)を設定し、必要な対策を選択したうえで、対象システムに一律に適用する手法です。
最大のメリットは、既存のガイドラインを活用できるため、短期間かつ低コストでリスクアセスメントと管理を実現できる点です。専門知識が限られた組織でも導入しやすく、一定水準のセキュリティを迅速に確保できます。
一方でデメリットもあります。設定するベースラインのレベルが高すぎると、セキュリティ対策が過剰となりコストや運用負荷が増大します。逆に低すぎると対策が不十分となり、リスクへの対応が手薄になる恐れがあります。
そのため、自組織の規模や業態に合ったガイドラインを慎重に選定し、定期的な見直しを行うことが、ベースラインアプローチを効果的に運用するうえで重要です。
情報セキュリティ対策を検討する際の手法の一つであるベースラインアプローチの特徴はどれか。
| ア | 基準とする望ましい対策と組織の現状における対策とのギャップを分析する。 |
| イ | 現場担当者の経験や考え方によって検討結果が左右されやすい。 |
| ウ | 情報資産ごとにリスクを分析する。 | エ | 複数のアプローチを併用して分析作業の効率化や分析精度の向上を図る。 |
答え:ア
イ:非形式的アプローチの特徴です。非形式的アプローチは、コンサルタントや担当者の経験的な判断によって分析する手法。短期間で実施できますが、コンサルタント・担当者の資質・レベル・判断次第になるおそれがあります。ウ:詳細リスク分析の特徴です。詳細リスク分析は、詳細なリスクアセスメントを実施する手法です。情報資産に対して,資産価値・脅威・脆弱性・セキュリティ要件を識別し,リスク分析します。厳密なリスク分析ができる一方で,時間・労力・専門知識が必要です。エ:組合せアプローチの特徴。組合せアプローチは、複数のアプローチを併用する手法です。重要な資産には、詳細リスク分析を使い、それ以外の資産は、ベースラインアプローチを使います。これにより、詳細リスク分析の欠点(時間・労力・専門知識が必要)を補いつつ、利点(厳密なリスク分析ができる)を得られます。
