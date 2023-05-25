会社はサイバーセキュリティー・リスク評価を使用して脅威と脆弱性を特定し、その潜在的なインパクトを推定し、最も重要なリスクに優先順位を付けます。

会社がリスク評価をどのように実施するかは、フレーミングのステップで定義された優先順位、範囲、リスク許容度によって異なります。ほとんどの評価では、次のように評価されます。

脅威とは、ITシステムを中断させたり、データを盗んだり、そうでなければ情報セキュリティーを侵害したりする可能性のある人物やインベントです。脅威には、意図的なサイバー攻撃（ランサムウェアやフィッシングなど）や従業員の過失（セキュアでないデータベースに機密情報を保管するなど）が含まれます。地震やハリケーンなどの自然災害も情報システムを脅かす可能性があります。

脆弱性とは、脅威が悪用によって損害を与えることができるシステム、プロセス、または資産の欠陥または弱点です。脆弱性は、マルウェアをネットワークに侵入させるファイアウォールの設定ミスや、ハッカーがデバイスをリモートで乗っ取るために使用できるオペレーティング・システムのバグなど、技術的なものである可能性があります。脆弱性は、ユーザーが必要以上の資産にアクセスできるようにする緩いアクセス制御ポリシーなど、脆弱なポリシーやプロセスからも発生する可能性があります。

インパクトとは、脅威が会社に及ぼすものです。サイバー脅威により重要なサービスが中断され、ダウンタイムや収益の損失が発生する可能性があります。ハッカーは機密データを盗んだり破壊したりする可能性があります。詐欺師は従業員を騙して金銭を送金させるために、ビジネスメール詐欺攻撃を利用する可能性があります。

脅威のインパクトは組織外に広がる可能性があります。データ侵害の間に個人情報を盗まれたお客様もまた、攻撃の犠牲者です。

サイバーセキュリティーの脅威の正確なインパクトを定量化することは難しいため、会社はインパクトを推算するために過去の傾向や他の組織に対する攻撃のストーリーなどの定性データを使用することがよくあります。アセットの重要性も要因です。アセットの重要性が高いほど、それに対する攻撃のコストは高くつきます。

リスクは、潜在的な脅威が組織に影響を与える可能性がどの程度あるのか、またその脅威がどの程度の損害を与えるのかを測定します。発生する可能性が高く、重大な損害を引き起こす可能性が高い脅威が最もリスクが高い一方で、マイナーな損害を引き起こす可能性が低い脅威は最もリスクが低いです。

リスク分析中、会社は脅威の可能性を評価するために複数の要素を考慮します。既存のセキュリティー管理、IT脆弱性の性質、会社が保有するデータの種類はすべて、脅威の可能性に影響を与える可能性があります。企業の業種も一因となり得ます。X-Force Threat Intelligence Indexによると、製造業や財務セクターの組織は、運輸業や通信業の組織よりも多くのサイバー攻撃に直面しています。

リスク評価は、セキュリティー情報とイベント管理（SIEM）システムのような内部のデータ・ソースや、外部の脅威インテリジェンスを活用することができます。また、ベンダーに対する攻撃が会社に影響を与える可能性があるため、会社のサプライ・チェーンの脅威や脆弱性を調査することもあります。

これらすべての要素を比較検討することで、会社はリスク プロファイルを構築できます。リスク プロファイルは、会社の潜在的なリスクのカタログを提供し、重大度に基づいて優先順位を付けます。脅威のリスクが高ければ高いほど、それは組織にとってより重大になります。