「情報セキュリティ対策検討の流れ」の４回目（最終回）です。
今回はSTEP2までで洗い出した情報を元にリスクの評価を行っていきます。

STPE3からは情報セキュリティの多少知識を持つ人が参加しないと厳しいかもしれません。例では説明のためにできるだけ簡単に記載するようにしましたが、それでもかなり細かくなっています。

原因・事象・影響に対して、現状実施している対策・発生した場合の影響の大きさ・発生する確率などの情報を加えていき、取り得るべき対策や対応の有無を決定していきます。

ポイントとしては、同じ原因・事象に対しても場所ごとに分けている点です。同じ原因・事象に対して同じ対策をとる場合でも、それぞれの場所で対応が必要となりますし、状況によっては場所ごとで取り得る対策が異なってくることもあり得ます。

費用面や人的リソースには限りがあるため、すべてのリスクに対して完璧な対応をとるということは現実的ではありません。したがって、影響度や発生確率の高いものや、容易に対策がとれるものを優先することで、それぞれのリスクに対して順位付けを行い対応有無を決定していくことになります。

このように単に情報セキュリティ対策を行うといっても、手当たり次第に「ネットワークの分離が必要だ」「侵入検知検知装置の導入が必要だ」と対策をうつのではなく、組織全体のリスクを見定めて優先順位付けをしてからここの対策を検討すべきです。

もし、情報セキュリティ対策の検討を始めたいが、何から手を付けてよいか分からないという方がいらっしゃいましたら、下記の問い合わせページよりお気軽にご相談ください。

----------------------------------------------------------
【ITライフコンパス お問い合わせページ】
http://www17.plala.or.jp/itlife/inquiry.html