読み方 : ざんりゅうリスク
残留リスク【residual risk】
残留リスクとは?
リスクマネジメントでは、対策前に存在する危険性を「固有リスク」と呼ぶことがある。技術的対策や運用ルールの整備、従業員教育などを通じてリスクを低減し、その結果として残ったものが残留リスクに相当する。例えば、ファイアウォールの導入や多要素認証を実施しても、不正侵入や情報漏洩の可能性が完全になくなるわけではなく、この残余部分が残留リスクである。
残留リスクと判断された危険性に対しては、主に三つの対応がある。許容範囲内と判断してそのまま運用を続ける「リスク受容」、保険への加入や外部委託によって損害を補填する「リスク移転」、そして追加対策を講じる「リスク低減」である。リスク受容の判断は経営層や責任者が行うものとされており、リスクの存在を認識した上での意思決定として位置づけられる。対策費用が守るべき資産の価値を上回る場合などは、一定の残留リスクを容認して運用を継続するケースも多い。
残留リスクは数値化されることも多い。発生確率と影響度を組み合わせてリスクマトリクスやスコアリング手法で評価し、対策後のリスク水準を定量的に把握する。ただし、未知の攻撃手法や人的ミスを完全に予測することは難しく、評価結果には一定の不確実性が含まれる。ISO/IEC 27001などの情報セキュリティマネジメントの国際規格でも、残留リスクの把握と記録が求められており、組織がリスクをどこまで低減しどこからは受容するかの判断基準(リスク受容基準)を明確にすることが規定されている。
関連用語
資格試験などの「残留リスク」の出題履歴
▼ 基本情報技術者試験
【平29修12 問41】 JIS Q 31000:2010(リスクマネジメント一原則及び指針)における残留リスクの定義はどれか。
共有ボタンをタップ