Microsoft.com
ようこそ サインイン
IT プロフェッショナルのための技術情報サイト
 印刷用ページ       送信     
クリックして評価とフィードバックをお寄せください
TechNet
TechNet ライブラリ
セキュリティと更新
セキュリティ ガイド
リスク管理
 セキュリティ リスク管理ガイドの概要

  低帯域幅での表示をオンにする
セキュリティ リスク管理ガイド

概要

公開日: 2005年1月13日

ソリューション一式をダウンロードする (英語)

セキュリティ リスク管理ガイド


ユーザーは、セキュリティ リスク管理の計画を設定しようとする場合、作業量の多さに圧倒されることがあります。 その理由としては、社内に専門家がいない、予算がない、またはアウトソースするためのガイドラインがない、などが考えられます。 このようなユーザーを支援するために、マイクロソフトでは、『セキュリティ リスク管理ガイド』を作成しました。 

このガイドを参照すると、あらゆる種類のユーザーが適切なセキュリティ リスク管理プログラムを計画、構築、および維持することができます。 このガイドでは、下の図で示されている 4 つのフェーズの流れに従って、リスク管理プログラムの各フェーズの実行方法、およびセキュリティ リスクを測定して許容可能なレベルまで制御する継続プロセスの構築方法について説明します。

Overvi01.gif


このガイドはテクノロジには依存しませんが、セキュリティ リスク管理に関しては、業界で受け入れられている多数の標準を参照しています。 これは、品質の高いガイダンスを提供することで顧客の情報技術 (IT) インフラストラクチャのセキュリティ保護を支援するというマイクロソフトの取り組みの重要な一例です。 このガイドには、マイクロソフトの IT 部門が現実に体験してきたさまざまな例が盛り込まれており、また、マイクロソフトのユーザーおよびパートナーからいただいた情報も含まれています。

このガイドは、信頼できるセキュリティ専門家のチームによって開発され、レビューされ、承認されたものです。 このガイドおよびその他のセキュリティ ガイダンスのトピックは、セキュリティ ガイダンス センター http://www.microsoft.com/japan/security/guidance から入手できます。 このガイドについてご意見、ご質問がある場合は、secwish@microsoft.com (英語のみ) までお送りください。  

このガイドは、6 つの章と 4 つの付録で構成されています。

トピック

第 1 章 : セキュリティ リスク管理ガイドの紹介
第 2 章 : セキュリティ リスク管理方法の概観
第 3 章 : セキュリティ リスク管理の概要
第 4 章 : リスクの評価
第 5 章 : 意思決定支援の実行
第 6 章 : 制御の実装とプログラムの効果の測定
付録

第 1 章 : セキュリティ リスク管理ガイドの紹介

第 1 章では、セキュリティ リスク管理ガイド (SRMG) について紹介し、各章の簡単な概要を説明します。 また、次の情報も記載されています。

  • セキュリティ リスク管理プログラムを成功させる鍵

  • 主な用語と定義

  • このガイドの表記規則

  • さらに詳細な情報の参照先

第 2 章 : セキュリティ リスク管理方法の概観

第 2 章では、組織のリスク管理の成熟レベルを決定する方法など、その他のセキュリティ リスク管理方法および関連する考慮事項を検討し、SRMG の基盤を固めるとともにその背景について説明します。

第 3 章 : セキュリティ リスク管理の概要

第 3 章では、SRMG プロセスの 4 つのフェーズについて詳細に説明し、その重要な概念と成功のための鍵を紹介します。 この章ではまた、効率的に計画を策定し、役割と責任がしっかり定義された強固なセキュリティ リスク管理チームの構築に重点を置くことで、プログラムの準備を行うためのアドバイスも提供します。

第 4 章 : リスクの評価

第 4 章では、最初のフェーズである「リスクの評価」について詳細に説明します。 このフェーズには、計画、データ収集、リスクの優先順位付けなどのステップがあります。 リスクの優先順位付けは、概要レベルと詳細レベルから成り、定性的な手法と定量的な手法のバランスを取って、時間と労力の適切なトレードオフの範囲内で信頼できるリスク情報を提供します。 「リスクの評価」フェーズで作成される情報は、チームがプロセスの次のフェーズでビジネスの意思決定に使用できる詳細な分析を伴う一覧です。

第 5 章 : 意思決定支援の実行

第 5 章では、2 番目のフェーズである「意思決定支援の実行」について説明します。 このフェーズでは、チームは、最も効果的かつ効率的に主要なリスクに対処する方法を決定します。 チームは制御を特定し、コストを予測し、リスク軽減度を評価し、実装する制御を決定します。 「意思決定支援の実行」フェーズで作成される情報は、「リスクの評価」フェーズで特定された上位の各リスクを制御もしくは受け入れるための、明確ですぐに利用できる計画です。

第 6 章 : 制御の実装とプログラムの効果の測定

第 6 章では、SRMG の最後の 2 つのフェーズである「制御の実装」と「プログラムの効果の測定」について説明します。 「制御の実装」フェーズでは、対策責任者が、意思決定支援プロセス中に明らかになった制御ソリューションの一覧に基づいて計画を作成、実行します。

セキュリティ リスク管理プロセスの最初の 3 つのフェーズが完了したら、組織は、セキュリティ リスク管理の進捗状況を総合的に評価する必要があります。 最後の「プログラムの効果の測定」フェーズでは、この作業に役立つ "セキュリティ リスク スコアカード" の概念について紹介します。

付録

付録には次のものがあります。

  • 付録 A: ad-hoc リスク評価

  • 付録 B: 一般的な情報システム資産

  • 付録 C: 一般的な脅威

  • 付録 D: 脆弱性

目次

© 2009 Microsoft Corporation. All rights reserved. 使用条件  |  商標  |  プライバシー
Page view tracker