リスクマトリクスで優先対策領域を明確に

中級

6.7.26

リスクマトリクスで優先対策領域を明確に

最終更新 2020-04-18 読了時間 1 分
まとめ
  • 発生確率×影響度の5段階ヒートマップでリスク優先度を可視化する。
  • ax.imshowでカラーマップを描画し、セルにリスクレベルを表示。
  • リスクアセスメントで対策優先順位を関係者と共有するときに使う。

リスクアセスメントでは、発生確率と影響度の2軸で優先度を決めることが多いです。ヒートマップでマトリクス化すると、緊急で対処すべき項目が一目瞭然になります。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

import numpy as np
import matplotlib.pyplot as plt

levels = ["低", "やや低", "中", "やや高", "高"]
impact = ["軽微", "限定的", "中程度", "重大", "致命的"]

risk_matrix = np.array(
    [
        [1, 1, 2, 3, 4],
        [1, 2, 2, 3, 4],
        [2, 2, 3, 4, 4],
        [2, 3, 4, 4, 5],
        [3, 4, 4, 5, 5],
    ]
)

fig, ax = plt.subplots(figsize=(5.8, 5.2))
im = ax.imshow(risk_matrix, cmap="YlOrRd", vmin=1, vmax=5)

ax.set_xticks(range(len(levels)), labels=levels)
ax.set_yticks(range(len(impact)), labels=impact)
ax.set_xlabel("発生確率")
ax.set_ylabel("影響度")
ax.set_title("リスクマトリクス")

for i in range(risk_matrix.shape[0]):
    for j in range(risk_matrix.shape[1]):
        risk = risk_matrix[i, j]
        color = "white" if risk >= 4 else "#0f172a"
        ax.text(j, i, risk, ha="center", va="center", color=color, fontsize=12)

cbar = fig.colorbar(im, ax=ax, fraction=0.046, pad=0.04)
cbar.set_label("優先度レベル", rotation=270, labelpad=15)

ax.set_xticks(np.arange(-0.5, 5, 1), minor=True)
ax.set_yticks(np.arange(-0.5, 5, 1), minor=True)
ax.grid(which="minor", color="white", linewidth=1.5)
ax.tick_params(which="minor", bottom=False, left=False)

fig.tight_layout()

plt.show()

ヒートマップでマトリクス化すると、緊急で対処すべき項目が一目瞭然になりますの図

読み方のポイント #

  • 右上の赤に近いセルが最優先対応領域です。リスク対応計画の順序付けに使えます。
  • 左下の低リスク領域は監視のみ、といったルールを添えると運用が明確になります。
  • セルに番号を振っておけば、詳細表や対応チケットへのリンクを紐づけやすくなります。

いつ使うか #

  • 適している場面: リスクの発生確率と影響度を2軸でマッピングし、優先的に対策すべきリスクを特定したいとき。
  • 不向きな場面: 発生確率や影響度の評価が主観的になりがちで、スコアの粒度が粗いと重要なリスクを見逃します。
  • 代替手段: 定量的なリスク評価にはモンテカルロシミュレーションの結果を散布図で示す方が客観的です。

よくある失敗パターン #

  • スコアの粒度が粗い: 3×3 程度の粗いグリッドでは多くのリスクが同一セルに集中し、優先順位が付けられません。5×5 以上の粒度を検討してください。
  • 評価の主観性: 発生確率と影響度を定性的に評価するとバイアスが入ります。過去データに基づく定量的な評価基準を設けましょう。