リスク評価（Risk Assessment）

リスク評価とは、ひとことで言えば、組織の情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさ（影響度×発生可能性）を分析・評価する活動です。たとえば、「自社のWebサーバにSQLインジェクションの脆弱性がある」「悪用された場合の影響は顧客10万件のデータ流出」という形でリスクを具体化し、対策の優先順位を決めます。リスク評価なしにセキュリティ対策を行うと、本当に危険なリスクを見落とす「的外れな対策」になりかねません。定量的評価と定性的評価のアプローチがあり、組織の成熟度に応じて使い分けます。