リスク値は、基本的（理想的）には、「予想損失額」と「発生頻度」から算出され、以下の計算式から損失額を導くことになります。

リスク値　＝　予想損失額　　発生頻度

リスクが大きいということは、情報資産に悪影響を与える可能性が高く、その影響力も大きいということで、リスクが小さいということはその逆です。

同額のセキュリティ対策費用を投じるのであれば、リスクが大きい方から実施するのが妥当です。

また小さなリスクに対し、多大な資産を投じてセキュリティ対策をするのは合理的ではありません。

しかし、「予想損失額」や「発生頻度」をどの様に見積もるかが問題です。

特に情報セキュリティの場合は、特性上信頼性の高いデータを入手することは実質的には困難です。

さらに、時間の経過や環境要因等で変化しますので、適時リスクアセスメントを実施して対策状況をモニタリングすることも必要です。

そこで、

• ・対象となる情報資産の価値や重要性をレベル分けし、

• ・それらに対してどの様な「脅威」があり

• ・その「脅威」を誘引する弱点または「脅威」に対する管理策の不備の度合い等を示す「脆弱性」を評価する

これにより、リスクを定性的または相対的に評価することが有効ではないかと思います。

リスク値　＝　資産価値　　脅威　　脆弱性

資産価値については、情報資産の価値を評価するというより、情報資産の機密性・完全性・可用性が損なわれた場合の損害（影響）を評価し、ビジネスを熟知した管理責任者が評価することが重要です。

リスク値　＝　機密性基準　　脅威レベル　　脆弱性レベル

リスク値が算定されると、次にリスク評価基準と比較します。

ここでのリスク評価基準は、達成目標と対比することにより「受容可能なリスク水準」として経営陣が決定することになります。

あくまでも評価実施時のリスク環境を表すもので、残留リスクについても継続管理し、情報資産の価値や脅威・脆弱性等の環境変化が生じた場合は、随時リスク値を再算定して適切な対策を講じることが必要です。

そして、リスク評価で受容値を超えた管理対象リスクに対して、

１．適切な管理策の採用

２．リスクの保有

３．リスクの回避

４．リスクの移転

のいずれかの対応を実施することになります。