リスク分析手法
コンピュータシステムの安全性を評価する手法。自然災害,装置故障,誤操作等の過失,故意による情報の盗用や破壊等によりシステムが機能停止したり,機密情報が漏洩したりすると,損害の大きさによっては企業の存続にもかかわる事態になるおそれがある。こうした事態を回避するために,リスク分析が重視されている。リスク分析としては,定量的分析と定性的分析の2種類がある。
(1) 定量的リスク分析手法
一定期間(通常は1年間)に生じると予想される損失を原因別に金額で表す手法。定量分析では,リスクの影響とそれを防止するための費用とのバランスを最適化することが可能になる。
(2) 定性的リスク分析手法
リスクの金銭的価値を算定できない場合にリスクを1~10といった等級や順位によってリスクを表す手法。定量的手法のように具体的な金額によってリスクの大きさを測ることはできないが,定量的手法に比べてとりかかりやすく,主要なリスクが何であるかを知るには便利な手法。
◆ 《TCSEC(Trusted Computer Security Evaluation Criterial)》
コンピュータシステムのリスク分析ツールに関する米国の評価基準。
◆ 《ALE》
年間損失見積額のこと。コンピュータシステムのリスク分析時に使用される。資産額,脅威の発生確率およびセキュリティ対策の状況を考慮して算出する。