残存リスク（Residual Risk）

残存リスクとは、ひとことで言えば、セキュリティ対策（コントロール）を実施した後にもなお残っているリスクのことです。たとえば、ファイアウォールやEDRを導入してもゼロデイ攻撃の可能性は完全には消えず、その残った部分が残存リスクとなります。式で表すと「総リスク − コントロールによる削減 = 残存リスク」となります。残存リスクは経営層が受容するかどうかを判断する対象であり、「リスクをゼロにすること」ではなく「許容できる水準まで下げること」がセキュリティ対策のゴールである点を象徴する概念です。