電力中央研究所 報告書(電力中央研究所報告)
報告書データベース 詳細情報
報告書番号
R09019
タイトル(和文)
ITリスク対策策定ガイドライン
タイトル(英文)
IT Risk Assessment and Treatment Guideline
概要 (図表や脚注は「報告書全文」に掲載しております)
企業活動はITシステムへの依存度を高めており,ITリスク対策の重要性が高まってきている。しかし,ISMS(情報セキュリティマネジメントシステム)標準のリスクマネジメント手法を厳密に大規模ITシステムへ適用してITリスク対策を策定するためには多大な実施コストがかかる。そのため,ITリスクに対し容易に実施可能なITリスク対策策定手法とその手順を具体化したガイドラインが求められている。
そこで,本報告書ではITリスク対策策定の簡便な手法の手順をガイドラインして示す。この手順は以下の3ステップからなる。
(1)対象システムをいくつかのセグメントに分割する。さらに資産を特定し,それぞれの資産に対してインシデントの影響を評価する。
(2)資産の脅威とぜい弱性を特定する。脅威源からの経路に沿ってセグメント間の境界を通過する可能性とインシデントの影響を合成してリスクのレベルを算定する。
(3)対策導入後のリスクレベル再計算に基づき対策を評価し,費用を比較し対策を選定する。
また,表計算ソフトウェアのマクロでITリスクアセスメントのツールを実装した。このツールは上記ステップ(1)および(2)を実装したものである。
概要 (英文)
Business activities increase their dependency on IT systems. IT risks assessment and treatment gain im-portance in business activities. But it is laborious to assess and treat risks with the method of ISMS (Infor-mation Security Management System) standards strictly to large-scale IT systems. Therefore, there is a need for easily implementable methods of IT risk assessment and treatment.
We thus propose a convenient method of assessment and treatment. The method is divided into three steps.
(1) Divide the target system into some segments. Identify assets and evaluate incident impacts on each asset.
(2) Identify threats and vulnerabilities of assets. Evaluate risk levels with synthesizing the incident impact and the possibilities of passing perimeters between segments along the paths from origins of threat.
(3) Choose countermeasure on the basis of the risk levels, identified paths from origin of threat, and costs.
We develop an IT risk assessment tools with macros of spreadsheet software. The tool is the implementa-tion of the step (1) and (2).
報告書年度
2009
発行年月
2010/05
報告者
担当 | 氏名 | 所属 |
---|---|---|
主 |
嶋田 丈裕 |
システム技術研究所 情報数理領域 |
共 |
二方 厚志 |
システム技術研究所 情報数理領域 |
キーワード
和文 | 英文 |
---|---|
ITリスクアセスメント | IT Risk Assessment |
情報セキュリティ | Cyber Security |
ITリスク管理 | IT Risk Management |
インシデント | Incident |
ISMS | ISMS |