報告書番号

R08020

タイトル（和文）

大規模ITシステムの簡便なITリスクアセスメント手法の開発

タイトル（英文）

Development of an IT risk assessment method for large scale IT systems

概要 （図表や脚注は「報告書全文」に掲載しております）

企業活動はITシステムへの依存度を高めており、ITリスク対策の重要性が高まっている。しかし、ISMS（情報セキュリティマネジメントシステム）標準のリスクアセスメント手法を大規模ITシステムへ厳密に適用するためには、多大なコスト・時間がかかる。そのため、容易に実施可能なリスクアセスメント手法が求められている。
そこで、本報告書では、簡便な定性的ITリスクアセスメント手法を提案する。提案手法は以下の二つのステップからなる。
(1)対象システムをいくつかのセグメントへ分割し、インシデントを引き起こす一連の脅威・ぜい弱性の発生可能性をそれぞれのセグメントに切り分けて評価する。
(2)脅威源からインシデント発生箇所への経路に沿って各セグメントでの評価結果を合成し、システム全体に対するアセスメント結果を得る。
さらに、企業の業務系システムを模したシステムに対し提案手法を適用し、ISMS標準の手法を厳密に適用した場合と比較して、提案手法はアセスメントのコストを削減できることを示した。

概要 （英文）

Business activities increase their dependency on IT systems. IT risk assessment and risk treatment gain importance in business activities. But it is laborious to apply the risk assessment method of ISMS (Information Security Management System) standards strictly to large-scale IT systems. Therefore, there is a need for risk assessment methods that are easily implementable.
We thus propose a convenient qualitative IT risk assessment method. The method is divided into two steps.
(1)Divide the target system into some segments. And break the assessment in the whole target system down into the assessments within each segment.
(2)Synthesize the results of the assessments along the paths from origins of threat to target equipments.
We apply the proposed method to a system that imitates an enterprise information system. And we show that the proposed method reduce the cost of assessment compared to the strict ap-plication of the ISMS standard method.

報告者

キーワード