セキュリティ・リスク評価では、アプリケーションの主要なセキュリティ管理策を特定、評価、実装します。また、アプリケーションのセキュリティ上の欠陥や脆弱性の防止にも重点を置きます。
リスク評価を実施することで、攻撃者の視点からアプリケーション・ポートフォリオの全体像を可視化できます。これにより、情報に基づいたリソースの割り当て、ツールの選定、セキュリティ管理策の実装の決定を行うマネージャーを支援します。そのため、評価の実施は組織のリスク管理プロセスに不可欠です。
包括的なセキュリティ評価により、組織は以下のことができます。
セキュリティ・リスク評価は1回限りのセキュリティ・プロジェクトではないことを理解することが重要です。むしろ、少なくとも1年に1回は行うべき継続的な活動です。継続的な評価により、組織は晒されている脅威とリスクの現状と最新のスナップショットを得ることができます。
Synopsysは、リスクの影響が高い、重要な資産を毎年評価することをお勧めします。評価プロセスでは、さまざまな貴重な情報を作成および収集します。いくつかの例を以下に示します。