情報システムの運用・保守におけるリスクマネジメントを行うためには,リスク分析が必要であるが,平成17 年度に行われた日本情報処理開発協会(JIPDEC)の調査[1]によれば,リスク分析を実施した企業の62.7%が確立したリスクの分析手法がないことを問題として挙げており,被害想定額・被害頻度の算出が難しいのが現状である.そこで本発表では,日本ネットワークセキュリティ協会(JNSA)が提案した情報セキュリティインシデント被害額算出モデル[2]を基として,情報システム運用・保守段階でのリスク分析における,被害額算出についての検討を行う.