情報セキュリティリスクは、情報または情報システムの機密性、完全性、可用性の喪失により生じるリスクであり、組織の業務、組織の資産、個人、他の組織、国家に対してもたらされる可能性のある負の影響を指します。
そこで、リスクアセスメントは情報セキュリティリスクを特定し、評価し、優先順位を付けるプロセスになります。標準的な定義として、リスクアセスメントのプロセスがNIST SP 800-30に記載されています。ここでは簡単にリスクアセスメントのプロセスについて説明しておきます。1、システムの特徴付け。どこまでが守るべきシステムであるかを明確にしたり、どのような構造になっているのかを整理することでシステムを特徴付けします。2、脅威の特定。いくつかの非営利団体や企業から得られる最新の脅威のトレンドや事前の調査で得られた結果から脅威を特定します。3、脆弱性の特定。システムを構成している要素からどのような脆弱性が存在するのかを特定します。4、コントロール分析。脅威や脆弱性に対してどのような制御が施されているのかを把握します。5、頻度の決定。悪影響があるとしてどの程度の頻度で発生するのかを定量的に把握します。6、影響分析。悪影響の大きさと頻度がわかれば全体の影響の分析ができるでしょう。7、リスク決定。定性的な事象や定量的な事象も含めてリスクのレベルを測ります。8、コントロール推奨。リスクを最小化するための推奨されるべきコントロールを決定します。9、結果の文書化。リスクを測るための調査と、そこから得られた対応策、その根拠を文章化しておきます。9まで完了したら、再度1に戻り継続的なリスクアセスメントを心がけます。まとめると、リスクの関係性を整理してから、それぞれの脅威と脆弱性を特定し、リスクの大きさを算出していきます。そして、各リスクへの対応策を発案して、確定し、実行します。