このセキュリティを診断する手法はＩＳＭＳの手法にかなり近いですね。さらされているリスクの洗い出しがキモになりますね。

■5段階評価でセキュリティを判断する

本書でセキュリティ対策を検討する際に登場するのが、「5段階評価法」です。これは5つのステップを検討し、評価していくことで、提示された対策が「実施する価値のある対策かどうか」を判断することができるようになるというものです。

【ステップ1】
* 守るべき資産は何か
【ステップ2】
* その資産はどのようなリスクにさらされているのか
【ステップ3】
* セキュリティ対策によって、リスクはどれだけ低下するのか
【ステップ4】
* セキュリティ対策によって、どのようなリスクがもたらされるのか
【ステップ5】
* 対策にはどれほどのコストとどのようなトレードオフが付随するか