前回、リスクアセスメントのレポートを自社の事業にどんな脅威が想定でき、それに対しどう対処するのかを論理的に説明できるレポートにすることが安心できる組織になるだけでなく、営業上、信頼を得ることにもつながるであろうことを述べた。その上で、脅威を特定する際の勘所について、最近のトレンドをご紹介させていただいた。

　今回は、「特定した脅威がつけ込むかもしれない脆弱性の特定」について、勘所をご紹介したい。

最大のメリットは対策の妥当性を合理的に説明できるようにすること

　「重要な資産を3つ挙げてください。そしてその資産に対する脅威と脆弱性を教えてください。そのリスクに対する対策を教えてください。」という監査手法がある。情報セキュリティにおけるリスクアセスメントとは、情報を含む資産を特定し、それらの資産に対する脅威（システムまたは組織に損害を与える可能性があるインシデントの潜在的な原因）を特定し、特定した脅威がつけ込むかもしれない脆弱性を特定し、特定した情報が漏れた場合（機密性の喪失）、正確でない場合（完全性の喪失）、利用できない場合（可用性の喪失）について資産に及ぼす影響を特定し、リスクを分析・評価し、必要な対策を選択する手続きである。リスクアセスメントを実施する最大のメリットは対策の妥当性を合理的に説明できるようになることと考えてほしい。CSR報告書に情報セキュリティに関する事項を記載する組織も増えている。自組織の対策の妥当性を取りまとめた資料を営業ツールとして積極的に利用する試みもある。これからは、対策の有無よりも対策の妥当性が問われる時代になるであろう。