* [Blog](https://www2.paloaltonetworks.com/blog) * [Palo Alto Networks](https://www2.paloaltonetworks.com/blog/corporate/) * [カテゴリーなし](https://www2.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko) * 最大のリスクはリスクアセスメントをしないこと... # 最大のリスクはリスクアセスメントをしないこと [](https://www.facebook.com/sharer/sharer.php?u=https%3A%2F%2Fwww2.paloaltonetworks.com%2Fblog%2F2019%2F05%2Fgreatest-risk-is-not-doing-a-risk-assessment%2F%3Flang%3Dja) [](https://twitter.com/share?text=%E6%9C%80%E5%A4%A7%E3%81%AE%E3%83%AA%E3%82%B9%E3%82%AF%E3%81%AF%E3%83%AA%E3%82%B9%E3%82%AF%E3%82%A2%E3%82%BB%E3%82%B9%E3%83%A1%E3%83%B3%E3%83%88%E3%82%92%E3%81%97%E3%81%AA%E3%81%84%E3%81%93%E3%81%A8&url=https%3A%2F%2Fwww2.paloaltonetworks.com%2Fblog%2F2019%2F05%2Fgreatest-risk-is-not-doing-a-risk-assessment%2F%3Flang%3Dja) [](https://www.linkedin.com/shareArticle?mini=true&url=https%3A%2F%2Fwww2.paloaltonetworks.com%2Fblog%2F2019%2F05%2Fgreatest-risk-is-not-doing-a-risk-assessment%2F%3Flang%3Dja&title=%E6%9C%80%E5%A4%A7%E3%81%AE%E3%83%AA%E3%82%B9%E3%82%AF%E3%81%AF%E3%83%AA%E3%82%B9%E3%82%AF%E3%82%A2%E3%82%BB%E3%82%B9%E3%83%A1%E3%83%B3%E3%83%88%E3%82%92%E3%81%97%E3%81%AA%E3%81%84%E3%81%93%E3%81%A8&summary=&source=) [](https://www.paloaltonetworks.com//www.reddit.com/submit?url=https://www2.paloaltonetworks.com/blog/2019/05/greatest-risk-is-not-doing-a-risk-assessment/?lang=ja&ts=markdown) [](mailto:?subject=最大のリスクはリスクアセスメントをしないこと) Link copied By [Fred Streefland](https://www.paloaltonetworks.com/blog/author/fred-streefland/?lang=ja&ts=markdown "Posts by Fred Streefland") May 27, 2019 1 minutes [カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown) This post is also available in: [English (英語)](https://www2.paloaltonetworks.com/blog/2019/05/greatest-risk-not-risk-assessment/ "英語(English)に切り替える") ![The Greatest Risk Is Not Doing a Risk Assessment - header image](https://www.paloaltonetworks.com/blog/wp-content/uploads/2019/05/AdobeStock_153412372-440x280.jpeg) The Greatest Risk Is Not Doing a Risk Assessment 最近、私はサイバーセキュリティについてオランダの国会議員と興味深い議論をしました。議員のかたがたは、5Gセキュリティに関する私の見解と、380におよぶオランダの自治体連合が出したサイバーセキュリティ入札についての私の考えを知りたがっていました。 この入札は、ファイアウォール、エンドポイント保護システム、CASB(Cloud Access Security Broker)製品などのセキュリティ製品を、可能な場合は3つの異なるセキュリティベンダーから取得することを目的とするものでした。 私はここで「そういう入札のしかたはあまりよくないですね」とお伝えしました。なぜなら「サイバー脅威からの保護」とは、個々の問題に個別に解決策を提供する独立したポイント製品を購入すればそれで終わりではありませんし、いまある製品を少し安い別の製品に置き換えることでもないからです。 ## リスクアセスメント作成から始まる包括的戦略の必要性 効果的なサイバーセキュリティには、リスクアセスメント作成から始まる包括的な戦略が必要となります。 リスクアセスメントの最初のタスクは「***ビジネスで一番大切なものを特定すること***」。 つまり最も保護が必要な主要資産とデータが何であるかを特定することです。この「一番大切なもの」の例として、たとえば顧客の知的財産、クレジットカードの詳細、個人を特定できる情報、医療上の機微情報や産業上の機密情報などがあげられます。 いよいよ次のタスクが「***特定した主要資産を脅かすサイバー攻撃リスクを評価すること***」です。 組織の各部門から10人から15人の従業員をひとつの部屋に集め、各部門でのビジネスにおけるサイバーセキュリティリスクをブレーンストーミングで洗い出す、というのがひとつリスク評価の実践的方法でしょう。同時にこれらの従業員はこれらのリスクがどの程度実現する可能性があるかも検討すべきです。 私は以前、最高情報セキュリティ責任者(CISO)としてあるホスティング会社に勤務していたことがありますが、ここでは有用なリスクアセスメント計画を一連のブレインストーミングを通じて作成していました。これらのブレインストーミングで各リスクに数値を割り当てていくのです。リスクが現実のものになる可能性を1から5の数値でカテゴリ分けします。 ここでは1が「低リスク」、5が「高リスク」となります。そのうえで、リスクが現実のものとなった場合の影響を評価します。ここでも、1から5という数値でカテゴリ分けします。「リスクの数値」は単純にこれらの数値2つをかけ合わせたものです。 こうしたブレインストーミングのセッションを何度か重ね、ぜんぶで225個のサイバーセキュリティリスクを洗い出しました。こうして洗い出したリスクのなかには、リスク値が20以上のものもありました。つまり、現実のものとなる可能性があり、かつ会社に悪影響を及ぼす可能性があるリスクというわけです。もちろんさほど緊急性が高くないリスクもありました。 私たちが特定した脅威のなかには、たとえば「ユーザー名とパスワードをそのまま保持して休職した従業員が社内ネットワークに任意にアクセスしうること」、「データセンタで電源喪失が発生しデータ可用性が損なわれる可能性」、「システム設定ミスでデータが保護されていない状態で放置される」などがありました。 ## リスクアセスメントをもとに取締役会が対策導入割り当てを決定 こうしてリスク値を算出したら、それらに対し、どのようなリソースを準備して保護対策を割り当てるかを役員会が決定する運びとなります。 たとえば役員会はこのリスク値をもとに「もっともリスク値が高い15個の脅威について重点的にセキュリティ対策を行い、被害の少なそうな脅威についてはそれよりは控えめに対策する」といった決定をするのです。 リスク値を算定する利点は、これによってCISOではなく会社の役員会が決定権を持てる点にあります。リスク管理というのは結局のところ、役員会が負うべき責任のひとつなのですから。 たとえばこのとき取締役会は「従業員がログイン情報を保持したまま会社を離れることのリスク」は非常に高いと判断し、「休職する従業員は事前にIT部門に立ち寄ってユーザー名とパスワードをキャンセルする手続きをする」という対策を導入しました。休職する従業員は、この手続きを完了したことを示す文書をITから受け取ったときのみ、人事部門から休職の承認を受けられるようにしたのです。たしかに事務処理は煩雑にはなりますが、これでハッキングの脅威を減らすことはできます。各社の取締役会は、こうしたトレードオフも勘案して判断を行わねばなりません。 リスクを軽減するもう1つの解決策は、機密データへのアクセスに2要素認証を強制することです。この対策にはコストがかかりますし仕事をやりにくくする場合もあるでしょう。ですが、リスクを評価し、解決策を承認するかどうかを決定するのは、あくまでも取締役会の仕事なのです。 ## リスクアセスメントができている組織は少数派 残念ながら、今日の動きの速い世界でサイバーセキュリティについて適切なリスクアセスメントを実施している組織はまだまだ少数派です。ただしこのリスクアセスメントという考えかたはたしかに徐々にではありますが注目されるようになってきています。 サイバーセキュリティはこれまで、発生した特定の問題について、個別に対策を組み込むかたちで進化してきました。ここ10年のこうした流れによって積み上がった対策が肥大化し、現在の組織には平均で34個のセキュリティポイント製品が配置されていると言われています。[つまり、各組織が他組織と連携することなく独立してセキュリティ対策を取っているかたちです](https://www.securityroundtable.org/when-every-company-is-a-data-company-reality-bites/)。結果としてCISOは、ファイアウォールやウィルス対策ソフトウェアをそのつど交換することをよしとする傾向がありますが、これではセキュリティインフラの肥大化がさらに進むだけです。 本来、よく練られたリスクアセスメントだけが、CISOを筆頭にIT部門の従業員から取締役会までのすべての関係者に対し、進化する脅威状況から組織を保護するうえでリスクにさらされているものが何であるかを明確に可視化してくれるのです。 そこで、冒頭のオランダの自治体連合をふくめ、サイバーセキュリティ施策の肥大化傾向がつづいているという組織のみなさんにはぜひ「***自社最大のリスクはリスクアセスメントをしないことだ***」という自覚を持っていただければと思います。 *※ Fred Streeflandは、Palo Alto Networksの北ヨーロッパおよび東ヨーロッパの最高セキュリティ責任者です。* *** ** * ** *** ## Related Blogs ### [Must-Read Articles](https://www.paloaltonetworks.com/blog/security-operations/category/must-read-articles/?ts=markdown), [Product Features](https://www.paloaltonetworks.com/blog/security-operations/category/product-features/?ts=markdown), [カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown) [#### Expanded Coverage of Attack Surface Risks with Cortex Xpanse](https://www2.paloaltonetworks.com/blog/security-operations/expanded-coverage-of-attack-surface-risks-with-xpanse-2-7/) ### [Zero Trust Security](https://www.paloaltonetworks.com/blog/network-security/category/zero-trust-security-ja/?lang=ja&ts=markdown), [カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown) [#### Strata Copilot - 自律型サイバーセキュリティの未来へアクセルを踏む](https://www2.paloaltonetworks.com/blog/network-security/introducing-strata-copilot/?lang=ja) ### [Partner Integrations](https://www.paloaltonetworks.com/blog/sase/category/partner-integrations-ja/?lang=ja&ts=markdown), [Use-Cases](https://www.paloaltonetworks.com/blog/sase/category/use-cases-ja/?lang=ja&ts=markdown), [カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown) [#### IIJ が SP Interconnect を使用した マネージド Prisma SASE を開始](https://www2.paloaltonetworks.com/blog/2024/04/iij-sp-interconnect-prisma-sase/?lang=ja) ### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown), [カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown) [#### 「運用」はセキュリティ対策の要! Cortex XSOARによるセキュリティ運用の自動化と効率化](https://www2.paloaltonetworks.com/blog/2024/01/security-operation-cortex-xsoar/?lang=ja) ### [IoT](https://www.paloaltonetworks.com/blog/category/iot-ja/?lang=ja&ts=markdown), [カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown) [#### 人命を預かる業種で頼りになる、医療用 IoT Security](https://www2.paloaltonetworks.com/blog/2022/12/medical-iot-security-to-depend-on/?lang=ja) ### [カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown) [#### 日々増減する、国民向け行政システムのセキュリティ状況を把握するための解決策](https://www2.paloaltonetworks.com/blog/2022/05/security-in-digitalization/?lang=ja) ### Subscribe to the Blog! Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more. ![spinner](https://www2.paloaltonetworks.com/blog/wp-content/themes/panwblog2023/dist/images/ajax-loader.gif) Sign up Please enter a valid email. By submitting this form, you agree to our [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) and acknowledge our [Privacy Statement](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown). Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder. This site is protected by reCAPTCHA and the Google [Privacy Policy](https://policies.google.com/privacy) and [Terms of Service](https://policies.google.com/terms) apply. {#footer} {#footer} ## Products and Services * [AI-Powered Network Security Platform](https://www.paloaltonetworks.com/network-security?ts=markdown) * [Secure AI by Design](https://www.paloaltonetworks.com/precision-ai-security/secure-ai-by-design?ts=markdown) * [Prisma AIRS](https://www.paloaltonetworks.com/prisma/prisma-ai-runtime-security?ts=markdown) * [AI Access Security](https://www.paloaltonetworks.com/sase/ai-access-security?ts=markdown) * [Cloud Delivered Security Services](https://www.paloaltonetworks.com/network-security/security-subscriptions?ts=markdown) * [Advanced Threat Prevention](https://www.paloaltonetworks.com/network-security/advanced-threat-prevention?ts=markdown) * [Advanced URL Filtering](https://www.paloaltonetworks.com/network-security/advanced-url-filtering?ts=markdown) * [Advanced WildFire](https://www.paloaltonetworks.com/network-security/advanced-wildfire?ts=markdown) * [Advanced DNS Security](https://www.paloaltonetworks.com/network-security/advanced-dns-security?ts=markdown) * [Enterprise Data Loss Prevention](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown) * [Enterprise IoT Security](https://www.paloaltonetworks.com/network-security/enterprise-device-security?ts=markdown) * [Medical IoT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown) * [Industrial OT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown) * [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown) * [Next-Generation Firewalls](https://www.paloaltonetworks.com/network-security/next-generation-firewall?ts=markdown) * [Hardware Firewalls](https://www.paloaltonetworks.com/network-security/hardware-firewall-innovations?ts=markdown) * [Software Firewalls](https://www.paloaltonetworks.com/network-security/software-firewalls?ts=markdown) * [Strata Cloud Manager](https://www.paloaltonetworks.com/network-security/strata-cloud-manager?ts=markdown) * [SD-WAN for NGFW](https://www.paloaltonetworks.com/network-security/sd-wan-subscription?ts=markdown) * [PAN-OS](https://www.paloaltonetworks.com/network-security/pan-os?ts=markdown) * [Panorama](https://www.paloaltonetworks.com/network-security/panorama?ts=markdown) * [Secure Access Service Edge](https://www.paloaltonetworks.com/sase?ts=markdown) * [Prisma SASE](https://www.paloaltonetworks.com/sase?ts=markdown) * [Application Acceleration](https://www.paloaltonetworks.com/sase/app-acceleration?ts=markdown) * [Autonomous Digital Experience Management](https://www.paloaltonetworks.com/sase/adem?ts=markdown) * [Enterprise DLP](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown) * [Prisma Access](https://www.paloaltonetworks.com/sase/access?ts=markdown) * [Prisma Browser](https://www.paloaltonetworks.com/sase/prisma-browser?ts=markdown) * [Prisma SD-WAN](https://www.paloaltonetworks.com/sase/sd-wan?ts=markdown) * [Remote Browser Isolation](https://www.paloaltonetworks.com/sase/remote-browser-isolation?ts=markdown) * [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown) * [AI-Driven Security Operations Platform](https://www.paloaltonetworks.com/cortex?ts=markdown) * [Cloud Security](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown) * [Cortex Cloud](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown) * [Application Security](https://www.paloaltonetworks.com/cortex/cloud/application-security?ts=markdown) * [Cloud Posture Security](https://www.paloaltonetworks.com/cortex/cloud/cloud-posture-security?ts=markdown) * [Cloud Runtime Security](https://www.paloaltonetworks.com/cortex/cloud/runtime-security?ts=markdown) * [Prisma Cloud](https://www.paloaltonetworks.com/prisma/cloud?ts=markdown) * [AI-Driven SOC](https://www.paloaltonetworks.com/cortex?ts=markdown) * [Cortex XSIAM](https://www.paloaltonetworks.com/cortex/cortex-xsiam?ts=markdown) * [Cortex XDR](https://www.paloaltonetworks.com/cortex/cortex-xdr?ts=markdown) * [Cortex XSOAR](https://www.paloaltonetworks.com/cortex/cortex-xsoar?ts=markdown) * [Cortex Xpanse](https://www.paloaltonetworks.com/cortex/cortex-xpanse?ts=markdown) * [Unit 42 Managed Detection \& Response](https://www.paloaltonetworks.com/cortex/managed-detection-and-response?ts=markdown) * [Managed XSIAM](https://www.paloaltonetworks.com/cortex/managed-xsiam?ts=markdown) * [Threat Intel and Incident Response Services](https://www.paloaltonetworks.com/unit42?ts=markdown) * [Proactive Assessments](https://www.paloaltonetworks.com/unit42/assess?ts=markdown) * [Incident Response](https://www.paloaltonetworks.com/unit42/respond?ts=markdown) * [Transform Your Security Strategy](https://www.paloaltonetworks.com/unit42/transform?ts=markdown) * [Discover Threat Intelligence](https://www.paloaltonetworks.com/unit42/threat-intelligence-partners?ts=markdown) ## Company * [About Us](https://www.paloaltonetworks.com/about-us?ts=markdown) * [Careers](https://jobs.paloaltonetworks.com/en/) * [Contact Us](https://www.paloaltonetworks.com/company/contact-sales?ts=markdown) * [Corporate Responsibility](https://www.paloaltonetworks.com/about-us/corporate-responsibility?ts=markdown) * [Customers](https://www.paloaltonetworks.com/customers?ts=markdown) * [Investor Relations](https://investors.paloaltonetworks.com/) * [Location](https://www.paloaltonetworks.com/about-us/locations?ts=markdown) * [Newsroom](https://www.paloaltonetworks.com/company/newsroom?ts=markdown) ## Popular Links * [Blog](https://www.paloaltonetworks.com/blog/?ts=markdown) * [Communities](https://www.paloaltonetworks.com/communities?ts=markdown) * [Content Library](https://www.paloaltonetworks.com/resources?ts=markdown) * [Cyberpedia](https://www.paloaltonetworks.com/cyberpedia?ts=markdown) * [Event Center](https://events.paloaltonetworks.com/) * [Manage Email Preferences](https://start.paloaltonetworks.com/preference-center) * [Products A-Z](https://www.paloaltonetworks.com/products/products-a-z?ts=markdown) * [Product Certifications](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance?ts=markdown) * [Report a Vulnerability](https://www.paloaltonetworks.com/security-disclosure?ts=markdown) * [Sitemap](https://www.paloaltonetworks.com/sitemap?ts=markdown) * [Tech Docs](https://docs.paloaltonetworks.com/) * [Unit 42](https://unit42.paloaltonetworks.com/) * [Do Not Sell or Share My Personal Information](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd) ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg) * [Privacy](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown) * [Trust Center](https://www.paloaltonetworks.com/legal-notices/trust-center?ts=markdown) * [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) * [Documents](https://www.paloaltonetworks.com/legal?ts=markdown) Copyright © 2026 Palo Alto Networks. All Rights Reserved * [![Youtube](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks) * [![Podcast](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://www.paloaltonetworks.com/podcasts/threat-vector?ts=markdown) * [![Facebook](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/) * [![LinkedIn](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks) * [![Twitter](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks) * EN Select your language