リスク評価 (Risk Assessment)

ID

DSOVS-ORG-001

概要

リスク評価は組織、プロジェクト、システム、ビジネスプロセスに関連し、その成功に影響を及ぼす可能性のあるリスクを分析するプロセスです。

これはシステムやプロセスのセキュリティとパフォーマンスに影響を与える可能性のある潜在的な脆弱性や脅威を特定するのに役立つため、DevSecOps の重要な部分となっています。

リスク評価によって組織はより優れたセキュリティプラクティスを開発し、改善作業に優先順位を付け、問題になる前に潜在的なリスクをプロアクティブに対処できます。

レベル 0 - リスク評価活動を実施していない

lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

レベル 1 - 要求に応じてリスク評価業務を実施している

lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

レベル 2 - ソフトウェア開発チーム内のセキュリティ分野の専門家が各機能のリスク評価を実施している

lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

レベル 3 - 定期的なレビュースケジュールを定め、開発チームがリスクプロファイルをレビューしている

lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

Further reading

Risk assessment tools

  • https://evaluator.tidyrisk.org/

Risk assessment resources

  • NIST - Secure Software Development Framework (SSDF) The Secure Software Development Framework (SSDF) is a set of fundamental, sound, and secure software development practices based on established secure software development practice documents from organizations such as BSA, OWASP, and SAFECode. Few software development life cycle (SDLC) models explicitly address software security in detail, so practices like those in the SSDF need to be added to and integrated with each SDLC implementation.

    • https://csrc.nist.gov/Projects/ssdf

  • Synopsys lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

    • https://www.synopsys.com/blogs/software-security/software-risk-analysis/

  • OWASP Risk Rating Methodology lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum

    • https://owasp.org/www-community/OWASP_Risk_Rating_Methodology

Previous攻撃対象領域管理 (Attack Surface Management)Nextセキュリティトレーニング (Security Training)

Last updated