第3回 Step 2: 業務・IT 資産リスクアセスメント — RTO/RPO を数値化する

導入

BIA で「何が重要か」を把握したら、次は “何がどれだけ危ないか” を定量化 します。ここでは NIST SP 800-30／SP 800-34 と ISO / IEC 27005 の公式ガイダンスを下敷きに、リスクを数値化し、経営の意思決定に直結させる手順を 4 週間で実装します。​
NIST – NIST SP 800-30 Rev. 1 Guide for Conducting Risk Assessments
NIST – NIST SP 800-34
国際標準化機構- ISO/IEC 27005:2022

---

リスクアセスメントの公式フレームワーク

フレームワーク	目的	採用ポイント
NIST SP 800-30	リスク識別・分析・評価の全段階	3 ティア階層で経営層の意思決定を支援 NIST – Guide for Conducting Risk Assessments NIST – Guide for Conducting Risk Assessments (PDF)
NIST SP 800-34	IT コンティンジェンシー計画	RTO/RPO 設定と代替手順を連携 NIST – Contingency Planning Guide for Federal Information Systems
ISO 27005	組織横断の情報リスク管理	ISO 22301/27001 との親和性 国際標準化機構 – ISO/IEC 27005:2022
CIS RAM	実装負荷とリスク削減効果のバランス指標	中小規模向けにわかりやすいスコアリング CIS RAM

---

5-Step リスクアセスメント実践ガイド

Step	活動	成果物	参考 Clause ／ セクション
1	資産インベントリ：BIA で抽出した業務を IT 資産にマッピング	資産台帳	NIST 800-30 §2
2	脅威・ハザード特定：自然災害、サイバー、人的、供給網	脅威リスト	ISO 27005 7.2
3	脆弱性評価：技術・プロセス・人的の 3 層	脆弱性一覧	NIST 800-30 §3
4	影響分析 & リスク定量化：S(Severity) × L(Likelihood) で 5×5 マトリクス	リスク登録簿	CIS RAM スコアカード
5	対策優先付け & リスク許容度設定：回避／低減／転嫁／受容	対策ロードマップ	NIST 800-34 §3

---

リスクマトリクス例（5×5）

Likelihood→ / Impact↓	1	2	3	4	5
1	1	2	3	4	5
2	2	4	6	8	10
3	3	6	9	12	15
4	4	8	12	16	20
5	5	10	15	20	25

閾値設定例

• 1–5：許容可（受容）
• 6–15：要改善（低減・転嫁）
• 16–25：即時対応（回避・低減）

---

経営層 & IT 管理者の責任区分

レベル	主担当	決定事項
経営層	CEO / 取締役会	リスク許容度、資金配分
戦略	CIO / CISO	リスク優先順位、ロードマップ
運用	IT 運用部門	技術対策、監視、訓練
監査	内部監査 / 第三者	コンプライアンス評価、改善勧告

---

30 日スプリント計画

週	マイルストーン	完了条件
1	資産・脅威リスト作成	100 % 資産をカテゴリ別登録
2	脆弱性評価ワークショップ	脆弱性一覧と暫定スコア
3	リスク定量化 & マトリクス策定	リスク登録簿ドラフト完成
4	経営レビュー & 承認	許容度・予算確定、改善計画スタート

---

90 秒アクションチェックリスト

• NIST SP 800-30 の 5-Step を読了
• 5×5 リスクマトリクスを経営会議で承認
• 「高リスク ≥16」案件に対策オーナーを割当
• リスク登録簿を 30 日ごとに更新・報告

---

参照リンク一覧

• NIST SP 800-30 Rev.1 – Guide for Conducting Risk Assessments
• NIST SP 800-34 Rev.1 – Contingency Planning Guide for Federal Information Systems
• ISO/IEC 27005:2022 – Information Security Risk Management
• CIS RAM v2.0 – Risk Assessment Method