守るべき資産とそのリスクの特定
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「守るべき資産とそのリスクの特定」の解説
詳細は「ソフトウェア資産管理」、「リスクマネジメント」、および「リスクアセスメント」を参照 自組織内の物理デバイス、システム、ソフトウェアプラットフォーム、アプリケーション、外部情報システムといったリソースの一覧を作成し、ネットワークの通信やデータフローを図示し、これらのリソースやデータのうち、守らなければならないものとその理由、およびそれが抱える脆弱性を特定する。この際、ビジネスに対する潜在的な影響とその可能性も特定する。そしてそれら守るべき対象を守れなかった場合に発生するリスクを、脅威、脆弱性、可能性、影響等を考慮して分析し、リスクに対処するためのコストやリスクが顕在化した場合の減損、対処後の残存リスクを特定し、自組織の役割、事業分野等を考慮してリスク許容度を明確化する。そしてビジネス上の価値に基づいてこれらのリソースやデータを優先度付けをする。さらに自組織の従業員や利害関係者に対し、サイバーセキュリティ上の役割と責任を定める。リスク管理のプロセスを自組織の利害関係者で確立、管理、承認する必要がある。 なお、保有資産の特定にはIT資産インベントリ検出ツールが利用でき、未登録機器の発見にはDHCPサーバのロギング機能等が利用できる。またアクセス監視の際、資産リストと突合する事で、承認されたデバイスのみがネットワークに接続されている事を確認できる なおリスク分析の際にはどのようなタイプの攻撃者が自組織が属する業界を攻撃するのかを事前に特定しておくのが望ましい。
※この「守るべき資産とそのリスクの特定」の解説は、「サイバーセキュリティ」の解説の一部です。
「守るべき資産とそのリスクの特定」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- 守るべき資産とそのリスクの特定のページへのリンク