リスクアセスメントの実践方法
企業/組織が保有する情報資産は、企業規模や産業分野によって取り扱う情報はそれぞれですが、経営情報・顧客情報・生産技術情報・人事情報などに個人情報も含めると多岐に渡ります。
ITインフラストラクチャを最適化し、これら情報資産をシステム障害/データ損失、サイバー攻撃などの脅威から保護するとともに、どのように情報セキュリティリスクを軽減するか、多くの企業/組織にとって大きな課題です。情報資産を適正に管理・維持するために、まずは企業/組織が保有する情報資産を把握し、リスクの受容基準を決定します。
リスクを特定・分析し、評価するプロセス(リスクアセスメント)を定め、適正に実施します。また、リスク分析の評価結果がリスク受容基準を超える場合、リスクを修正するプロセス「リスク対応(情報セキュリティ対策)」が必要です。
目次
リスクアセスメントを実施するために「リスク」について再確認しましょう
保有する情報資産に脆弱性があり、内外のリスク要因(脅威)が脆弱性を突くことによってリスクが顕在化し、情報資産に損失を与えます。どのようなものに脆弱性(セキュリティホール)が潜んでいるのか理解し、そのセキュリティホールに対応した適切な情報セキュリティ対策を講じます。
【脆弱性】
- a.情報システムの脆弱性:OS/ソフトウェア、Webアプリケーション、ネットワーク機器、IoT機器等
- b.組織に内在する脆弱性:管理ミス、誤操作(誤公開・誤送信)、紛失・盗難、置き忘れ、内部犯行等
【内外のリスク要因】
- a.意図的:不正侵入、ウイルス感染、改ざん、盗聴、窃取、なりすまし等の脅威
- b.偶発的:ヒューマンエラー、機器の故障、システム障害等の脅威
- c.環境的:地震・火事・落雷・台風・洪水など自然災害の脅威
守るべき情報は?
情報資産の洗い出し
組織全体で保有する情報資産を全て洗い出し、情報資産を把握します。ISMS取得では情報資産整理表にまとめ、情報資産管理台帳を作成(更新)します。
製品技術情報、戦略情報、顧客情報・(個人情報含む)、人事情報(個人情報含む)、
財務情報、ハードウェア資産、ソフトウェアライセンス、管理ソフトウェア、契約等
情報の分類
企業/組織における情報の重要性に応じて情報を分類します。
①情報の価値有無
企業/組織において、その情報が価値あるのか、あまり価値がないのかで判断して切り分けます。
【情報資産の価値付け-例】
- 資産としての価値がある情報極めて重大な損失、重大な損失等(顧客情報、製品開発情報、経営計画の情報など)
- 資産として、あまり価値のない情報軽微な損失(四季報に掲載の情報やWebページ等の公開情報)
②情報のラベル付け
情報の機密度に応じた情報セキュリティ対策を講じ、情報を有効活用するために、「価値ある情報」として分類した機密情報をさらにラベル付けし、評価基準(指標)の作成します。その際、管理の手間やコスト、円滑に業務が遂行できるよう考慮することも重要です。
【情報のラベル付け判断指標-例】
- ビジネスに影響のある情報で、経済的価値のある情報
- 情報漏えい行為等あれば、確実に損失を受ける情報
- 他社から預かった情報であり、情報漏えい行為等あれば、顧客や取引先など他社に損失を与える情報
- 他社にも役立つ性質の情報であり、競合他社にとって有用性あり
- 社会的信用が低下し、顧客減少等の損失を受ける可能性のある情報
- 個人情報含む情報
【重要書類のランク分け-例】
以下のように、重要書類についてランク分けし、情報のラベル付け判断指標に対しランクを割り当てます。
- [機密度]4:[秘密度]極秘(TOP SECRET)
- [機密度]3:[秘密度]丸秘(SECRET)
- [機密度]2:[秘密度]社外秘または部外秘(CONFIDENTIAL)
- [機密度]1:[秘密度]公開
リスク受容基準?
企業/組織が保有する情報資産(情報資産管理台帳)に、上記で確認した脆弱性があるかどうか確認し、リスクが顕在化した場合にどの程度の影響があるか、リスクの優先順位付け、リスク対策が必要か判断する必要があります。その判断基準となるのが「リスク受容基準」で、リスクを受容できない場合はリスク対策(情報セキュリティ対策)が必要なります。情報のラベル付けで設定された基準を「受容基準」とするのが一般的です。
リスクの特定・分析
リスクの特定プロセスでは、各情報資産(情報資産管理台帳に登録あり)において、リスクが顕在化し、ISMS「機密性・完全性・可用性」の3要素が確保できなくなった場合を想定し「リスク一覧表」を作成します。リスク(脅威と脆弱性の明確化)やその所有者を特定できるようにします。
リスク特定方法
ブレインストーミング方式・アンケート方式・チェックリスト方式があります。リスク分析では、特定したリスクが情報セキュリティ上どの程度なのか、リスク値を算出するプロセスです。リスク分析により、守るべき情報でリスク対策が必要か、明確に判断することが可能になります。
リスク算定(一般式) ※ISO/ICE27001に適合
リスク値=情報資産の価値×脅威×脆弱性
リスクの評価・対応・受容
上記4.で算出したリスク値より問題が発生した場合の影響度合いを評価し、受容基準と比較してリスクを許容できるか否か判断します。その際、リスクの度合いを理解しやすいリスクマップなどを利用してリスク発生の可能性と影響度の情報をプロットし、評価結果に優先順位をつけ、発生頻度・緊急性・重要性などリスクの特徴を確認します。
また、リスクの評価結果を受けて、対策費用や利用様態など考慮し、企業/組織にとって適切な対策方針を決定します。
【対策方法-例】
- リスクの回避
- リスクを受け入れて維持する
- リスクの軽減
- リスク源を除去
- リスクの移転
- その他
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい