リスク評価

 

代表的なモデルシステムを対象に、資産ベースのリスク分析とビジネスインパクトベースのリスク分析の実施について解説します。主な目的は以下の3つです。

(1) リスク分析の全体像と分析結果の提示

詳細なリスク評価では、リスク分析の工数やアウトプット数の増加が懸念されるため、実施が敬遠されがちです。ここでは、モデルシステムで実際にリスク分析を実施した場合に、どの程度の工数と分析アウトプットが用意されるかの全体像を提示します。これにより、リスク分析を「見た目ほど悪くない」ものとして提示し、リスク分析の具体的な手順、評価資料（脅威、対策、それらの対応表、評価シートのフォーマットなど）、分析対象の絞り込み方法などを理解して、リスク分析の実践的な実施方法を示したいと思います。

(2) リスク評価シートの結果を提示して資料全体を提供する

自社でシステム分析を行う際に、可能な範囲で資料の再利用やカスタマイズのために、代表的なモデル制御システムのリスク評価シートの結果を提供することで、リスク分析に必要な工数を削減したいと考えています。

(3) リスク評価シートの作成方法のバリエーションの紹介

ビジネスインパクトベースのリスク分析では、リスク評価シートは、リスクアセスメントシートの作成方法は、分析対象モデルの複雑さや、リスク分析結果の利用目的などに応じて様々です。ここで紹介したバリエーションの具体例が、貴社で対象システムのリスク分析を行う際に、最適なリスクアセスメントシートの作成方法を選択する際の参考になれば幸いです。

リスク管理の概念は、近年、企業統治の枠組みがより成熟し、リスク管理が価値の実現と戦略目標の達成の促進と保護の手段として認識されるようになったことなどから、重要性と関連性が高まっています。ビジネスの説明責任、情報開示、変化の速度、リスクのつながり、新興技術の影響、影響が大きく発生確率が低いリスクなどの社会的傾向により、効果的なリスク管理の必要性が強調され、重要性が高まっています。2024年の世界経済フォーラムによると、

物理セキュリティ システム (PSS) 評価ガイドは、評価担当者に、PSS の評価を計画、実施、および完了するために使用できる詳細な方法論を提供します。この方法論は、一貫性を促進し、徹底性を確保し、評価プロセスの品質を向上させるのに役立ちます。このガイドは、経験に関係なく、すべての評価者に役立つように設計されています。経験豊富な評価者にとって、情報は簡単に参照できるように整理されており、評価活動を行う際のリマインダーとして役立ちます。新しい評価者にとって、このガイドは貴重なトレーニング ツールとして役立ちます。経験豊富な評価者の支援があれば、新しい評価者はこのガイドを使用して、より効率的かつ効果的にデータを収集および解釈できるはずです。