21. わんくま同盟 名古屋勉強会 #42
3. CIA/AARの分析手法
• 2008年に失効していますが JIS TR X 0036-3
(ISO/IEC TR 13335)のGMITS(Guidelines for the
management of IT Security)に、参考となる
リスク分析方法があります。
1. ベースラインアプローチ
2. 非形式アプローチ
3. 詳細リスク分析
4. 組み合わせアプローチ
22. わんくま同盟 名古屋勉強会 #42
3. CIA/AARの分析手法
• 2008年に失効していますが JIS TR X 0036-3
(ISO/IEC TR 13335)のGMITS(Guidelines for the
management of IT Security)に、参考となる
リスク分析方法があります。
1. ベースラインアプローチ
一般に公開されている基準やガイドラインを基に,
組織で確保すべきレベルを決定し,これと現状の乖
離を分析・評価。
2. 非形式アプローチ
3. 詳細リスク分析
4. 組み合わせアプローチ
23. わんくま同盟 名古屋勉強会 #42
3. CIA/AARの分析手法
• 2008年に失効していますがJIS TR X 0036-3
(ISO/IEC TR 13335)のGMITS(Guidelines for the
management of IT Security)に、参考となるリス
ク分析方法があります。
1. ベースラインアプローチ
2. 非形式アプローチ
基準やガイドラインを用いるのではなく,リスク・アセ
スメント担当者の知識や経験を基にリスク・アセスメン
トを実施。
分析者の偏見や主観が結果に影響を及ぼす欠点があり。
3. 詳細リスク分析
4. 組み合わせアプローチ
24. わんくま同盟 名古屋勉強会 #42
3. CIA/AARの分析手法
• 2008年に失効していますが JIS TR X 0036-3
(ISO/IEC TR 13335)のGMITS(Guidelines for the
management of IT Security)に、参考となる
リスク分析方法があります。
1. ベースラインアプローチ
2. 非形式アプローチ
3. 詳細リスク分析
組織あるいは対象システムに対して,詳細なリス
ク・アセスメントを実施。
4. 組み合わせアプローチ
25. わんくま同盟 名古屋勉強会 #42
3. CIA/AARの分析手法
• 2008年に失効していますが JIS TR X 0036-3
(ISO/IEC TR 13335)のGMITS(Guidelines for the
management of IT Security)に、参考となるリス
ク分析方法があります。
1. ベースラインアプローチ
2. 非形式アプローチ
3. 詳細リスク分析
4. 組み合わせアプローチ
各リスク・アセスメント手法は,それぞれに特徴があり
ます。一般に分析コストと分析精度はトレードオフの関
係にあります。そこで,情報資産の重要度に応じて適切
なリスク・アセスメント手法を採用し,それらを組み合
わせて全体のリスク・アセスメントを実施する。