脅威分析
Threat Analysis
きょういぶんせき
情報資産に対する脅威を識別・分析するプロセス。自然災害、人的脅威(悪意のある攻撃、過失)、技術的脅威(システム障害、マルウェア)などを体系的に洗い出し、リスク評価の基礎とする。
情報セキュリティ監査 > セキュリティリスク評価と対策の監査
関連キーワードの用語
SC脅威分析
システムに対する潜在的な脅威を体系的に特定・評価する手法。STRIDE分析やアタックツリーなどの手法を用いて、システムの企画・要件定義段階で脅威を洗い出し、セキュリティ要件の定義に反映する。
AU分析的手続
財務データや非財務データの比率分析、趨勢分析、合理性テストなどにより、異常な変動や矛盾がないかを検証する監査技法。監査の計画段階と最終段階でも使用される。
AUリスク分析
識別されたリスクの発生可能性と影響度を見積もるプロセス。定量的リスク分析(金額等の数値で評価)と定性的リスク分析(高・中・低等で評価)がある。リスク評価の前段階として実施する。
AU業務フローの把握
監査対象の業務プロセスの流れを理解し文書化すること。業務フロー図を作成することで、統制ポイントの識別、リスクの所在の把握、ウォークスルーの実施を効果的に行える。
IPパレート図
値の大きい順に並べた棒グラフと累積構成比の折れ線グラフを組み合わせた図。問題の原因や改善項目の優先度を視覚的に把握でき、重点管理すべき項目を特定するのに使われる。
IPABC分析
対象をA(重要)、B(普通)、C(重要度低い)の3ランクに分類して管理する手法。パレート図を用いて売上高や在庫量などを分析し、重点管理すべき項目を明確にする。