リスクの概念
リスクの意味
「何らかの事態が発生することの関する 不確実性 」
あくまで不確実性であり、損失を生むとは限らない。
リスクの種類
投機的リスクと純粋リスク
投機的リスク
株価のような利益と損失のいずれかを生むもの。 顕在化すると、利益と損実のいずれかをもたらす。
純粋リスク
損失のみを生む可能性がある不確実性。 顕在化すると損失のみをもたらす。 情報セキュリティにおいて、主に分析・評価の対象となる。
情報リスクを構成する要素
情報資産・脅威・脆弱性
情報資産
「組織にとって守るべき価値を持つ情報及びそれを取り扱う一連の仕組みである情報システム」
情報に加え、ハードウェア・ソフトウェア・ネットワークなどの情報システム構成要素を含む。
脅威
情報資産に影響を与える直接的な要因となるもの。
脆弱性
脅威と結びつくことで損失を生む、弱点や欠陥のこと。
リスクと損失の関係
損失が生じるかもしれない不確実性がリスクである。
損失の種類
- 直接損失:コンピュータが盗まれるなど資産損失。事故による人的損失。
- 間接損失:業務中断、信用失墜による収益損失。賠償責任などの責任損失。
- 対応費用:復旧、再発防止のための費用。
直接損失の額は産出しやすいが、間接損失の額は算出しにくい。