ISO27001(ISMS)の情報セキュリティリスクアセスメントとは?基礎を解説
- リスクアセスメントとは、「リスク特定」「リスク分析」「リスク評価」を3つのプロセスとして見た一連の流れのこと
- リスクアセスメントの実施により、組織のリスクにおける現状を把握・分析でき、リスクへの対策方法を決めるための判断材料を揃えられる
ISO27001 規格 のマネジメントシステム を構築するためには、情報セキュリティ方針 を定め、リスクアセスメントを行う必要があります。このリスクアセスメントとは一体何のことで、どのようにしてリスクアセスメントを実施すれば良いのでしょうか?
今回は、ISO 27001におけるリスクアセスメントの目的や流れ、リスク対応の流れを解説していきます。
目次
リスクアセスメントとは?
リスクアセスメントとは、「リスク特定 」、「リスク分析 」、「リスク評価 」を3つのプロセスとして見た一連の流れのことです。労働安全衛生マネジメントシステムや環境マネジメントシステムなど、さまざまなジャンルで利用されるリスク管理の手法となっています。
簡単にいえば、まず「どのようなリスクがあるのか」を洗い出し、「そのリスクにどの程度の影響範囲」があり、「どの程度重要なのか」を調査します。
次に、そのリスクのレベルや重要性について決定し、最終的に「組織的にどのように対応していくのか」を判断する材料を揃えることです。
リスクアセスメントの目的
例えば、災害もそのリスクの一つです。労働安全衛生の観点では、従業員の安全対策について検討します。また、環境マネジメントシステムの観点では、有害物質が周辺に流出しないように対策することを検討します。そして情報セキュリティの観点では、サイバー攻撃などのリスクが挙げられます。
リスクアセスメントの必要性
ISOプロを運営するNSSスマートコンサルティング株式会社の「自社の情報セキュリティ管理の課題に関する実態調査」によると、自社の情報セキュリティ対策は万全だと思わないという方が31.5%いました。
そのうち、「情報セキュリティ対策が万全でないかと思う理由に近いものを教えてください(複数回答可)」という質問には、『データや書類の保管・破棄に関するルールが明確に定まっていないため(36.3%)』と回答した方が最も多く、『オフィス以外にデータを持ち出せる状態のため(35.0%)』『実際に問題が発生したことがあるため(26.8%)』と続きました。
この調査により、リスクアセスメントやリスク対応ができていないこと企業があることがわかります。また、行っていたとしても不十分だった場合には、実際に問題が発生したことで発覚することもあるでしょう。
情報セキュリティ体制を強化するには、リスクアセスメントを慎重に、丁寧に行うことが必要なのです。
ISO27001(ISMS)における情報セキュリティリスクアセスメント
ISO27001(ISMS
)とは、情報リスクマネジメント
システムにおける国際規格です。
ISO27001を取得するには、定められている要求事項を満たす情報セキュリティマネジメントシステムを構築・運用することが必要です。その中で、リスクアセスメントの実施が求められています。
情報セキュリティ上のリスクというのは数多く存在しますが、どのようなリスクが存在するのかは、組織の状況や内外の課題、
適用範囲
などによって異なります。
ちなみに、ISO27001ではリスクの評価もせずに「このリスクに対策を施していく」という非合理的な方法は求めていません。
クリティカルなリスクにはどのようなものがあり、それが対応すべきリスクかどうかを判断したうえで計画を策定することをISO27001は求めているのです。
ISO27001(ISMS)の目的
ISO27001の目的は、組織が保有する情報資産のセキュリティリスクを低減することにあります。そのために、情報セキュリティの三大要素である機密性 ・完全性 ・可用性をバランスよく高めることが求められています。
機密性:アクセス権限をもつ者だけが情報にアクセスできること
完全性:情報が正確かつ最新であること
可用性:アクセス権限をもつ者が、いつでも情報にアクセスできること
必ずしもセキュリティレベルを高めるだけでなく、情報資産を活用しやすくすることも三大要素に含まれます。
ISO27001(ISMS)における情報セキュリティリスクの具体例
以下に、情報セキュリティの三大要素ごとのリスクの具体例を挙げています。リスクを特定する際の参考にしてください。
機密性のリスク:アクセス権限のない者が情報にアクセスできてしまうリスク
- メールで誤った宛先に送信してしまう
- ウイルス感染によって機密情報が流出してしまう
- 記憶可能媒体の紛失により情報が漏えいする
- SNSや人混みで機密情報を話してしまう
完全性のリスク:情報が正確かつ最新でなくなるリスク
- ウイルスの感染によってデータベースが改ざんされてしまう
- データの入力ミス
- プログラムの誤作動によってデータが書き換えられる
- データが破損してしまう
可用性のリスク:アクセス権限のある者が、情報にアクセスできなくなるリスク
- ファイルのパスワードの失念
- サーバーが停止してしまう
- 社内にいないとデータにアクセスできない
- 自然災害によるサーバーの破損
情報セキュリティにおけるリスクアセスメントの流れ
リスクアセスメントの実施に向けて、リスクアセスメントがどのようにして行われるのかという大きな流れを掴んでおきましょう。
1.リスク特定
リスク特定は、組織がどのようなリスクを抱えているのかを発見するプロセスのことです。ISO27001における情報セキュリティ上のリスクとは、情報セキュリティの三大要素(可用性、機密性、完全性)を損なわせる要因のことです。
まず、社内で保有している情報資産を洗い出しましょう。資産といっても組織における価値の大きさで判断すべきではありません。紙の書類やサーバー、パソコン、USBメモリ、HDDなどに保存されている情報はすべて情報資産となります。
情報資産の洗い出しは、思いついた順ではなく、業務フローに沿って行うことがおすすめです。情報資産の漏れを防ぎ、効率的に行えます。洗い出した情報資産は、「営業」「人事」「システム」などのように管理する部門ごとに分類してください。
2.リスク分析
リスク分析とは、リスク特定によって発見されたリスクが、どのような特性で、どの程度の影響をもたらすのかを調査するプロセスのことです。
リスク分析の代表的な手法に、以下の2つのアプローチがあります。
ベースラインアプローチ:従来のガイドラインをもとにリスク管理を行う方法
詳細アプローチ(詳細リスク分析):情報資産の価値を評価し、計数化してリスク管理する方法
ベースラインアプローチは、ガイドラインをベースとするため、ガイドラインのレベルによりセキュリティレベルが異なります。また、ガイドラインは最低限の基準であるため、リスク管理が不十分になる可能性があります。そのため、詳細アプローチと組み合わせてアプローチすることがよくあります。
そこで、以下に詳細アプローチの一例を紹介します。情報資産やセキュリティリスクにおいて、主に以下の3つの観点から分析していきます。
- 重要度:その情報資産は、どの程度組織にとって重要か
- 発生率:そのセキュリティリスクは、どの程度起こりうるか
- 脆弱性:その情報資産は、どの程度管理されているか
情報資産の重要度は、機密性、完全性、可用性において資産価値やリスクがあった際の脅威を評価します。例えば、以下のように評価をしますが、レベルの段階と内容は組織の実情に合わせた設定を行います。
| レベル | クラス | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|
| 1 | 低 | 社外公開可 | 社内の限定範囲のみ影響 | 数日停止しても問題ない |
| 2 | 中 | 社内のみ公開可 | 社内のみ影響 | 日中に使用できれば問題ない |
| 3 | 高 | 関係者のみ公開可 | 社内外に影響 | 常に使用する必要がある |
セキュリティリスクの発生率は、例えば、以下のように評価します。
| レベル | クラス | 発生率 |
|---|---|---|
| 1 | 発生率小 | 10%未満 |
| 2 | 発生率中 | 10%~50% |
| 3 | 発生率大 | 50%以上 |
情報資産の脆弱性は、例えば、以下のように評価します。
| レベル | クラス | 脆弱性 |
|---|---|---|
| 1 | 脆弱性低 | 適切に管理されている |
| 2 | 脆弱性中 | 管理方法に改善の余地がある |
| 3 | 脆弱性大 | 管理されていない |
3.リスク評価
リスク評価とは、そのリスクがどの程度の頻度で発生するのか、リスク分析で調査した結果をもとに、そのリスクの影響範囲や重要性を掛け合わせ、最終的にそのリスクをどのようにするのかを判断する材料を整えるプロセスです。
具体的には、指標となるリスク値を設け、それぞれの情報資産を数値化し、評価を可視化できるようにするのです。リスク値は、以下のように算出します。なお、リスク値を出すことは必須ではありません。
リスク値=重要度レベル×発生率レベル×脆弱性レベル
その後、自社で設けているリスク値の基準と照らし合わせ、情報セキュリティ対策の必要性について判断します。
最後に、リスク評価の具体例として、「データ保管にクラウドサービスを利用した営業職のパソコン」を以下に紹介します。重要度は、最も高いものを重要度のレベルとします。
| 機密性 | 完全性 | 可用性 | 重要度 | |
|---|---|---|---|---|
| リスク評価レベル | 2 | 2 | 3 | 3 |
| 備考 | IDとパスワードがあれば、どの媒体からでもアクセスできる | もしリスクがあっても社内のみに影響する | 常に使用する必要がある | 可用性のリスクレベルが3であるため |
情報セキュリティリスクに対応する4つの方法
ISO27001では、リスクアセスメントを行った結果、リスク対応を実施していきます。このリスク対応にはどのような種類があるのかについても理解しておくと、リスクアセスメントも実施しやすくなるでしょう。
リスク対応の方法は大きく分けて4種類あります。
リスク軽減(低減)
リスク軽減は、そのリスクが発生する可能性を軽減したり、リスクが発生したとしても影響範囲が小さくなるような対策を施したりすることです。
例えば、ノートパソコンの紛失や盗難に備えて、保存する情報を暗号化したり、パスワードを定期的に変更したりする対策が挙げられます。
リスク回避
リスク回避は、そのリスクの元を断つような対応です。リスクの発生率を下げる対策を行います。
例えば、従業員に情報セキュリティに関する教育を実施し、セキュリティに対する知識の充実と意識の向上を図るといった対策やサーバールームへの入退室管理に指紋認証設備を導入するといった対策が挙げられます。
リスク移転
リスク移転とは、リスク発生時にその影響を外部に移転するような対応です。ただし、すべてのリスクを移転することは難しい可能性があります。
例えば、社内の情報システムの運用を他社に委託するといった対策が挙げられます。
リスク受容
リスク受容は、管理策を講じず、リスクを認識はするもののリスクを放置するような対策です。リスク対応の方法にはリスクをそのまま保有することも可能であることを意識しても良いでしょう。
情報セキュリティにおけるリスクアセスメントを有効活用するポイント
情報セキュリティにおけるリスクアセスメントを有効活用するポイントを解説します。
リスクアセスメントの本質を理解する
リスクアセスメントは手間や時間がかかるうえ、PDCAサイクルを回すうちに形骸化やマンネリ化しやすい傾向があります。
それは、リスクアセスメントのやり方にとらわれてしまい、「組織内のリスクについて把握し、そのうち対策すべきものの優先順位を明確にする」という目的から逸脱しやすいためといえるでしょう。
自社の情報資産や業務プロセスといった実情に沿ったリスクアセスメントの仕組みを形成することが重要です。リスク評価に適した手法を選定し、自社の内部にある情報セキュリティリスクにおける修正点を見つけましょう。
評価基準の設定を明確に行う
ISO27001では、情報セキュリティマネジメントシステムの継続的改善を目指します。そのため、担当者が変わっても同じようにリスクアセスメントを行えるように評価基準を設定することが必要です。
数値で評価することで客観的に判断できますが、最終的なリスク評価の際には、具体的な基準を設定すると担当者ごとの判断のブレをより抑えられます。
例えば、各項目の評価に「1点」「2点」「3点」とバラつきがある場合には、最高点を採用するといった基準をつくると、誰であっても「3点」という評価を下せます。
まとめ
今回は、ISO27001のリスクアセスメントについて解説してきました。リスクアセスメントを行うことで組織は情報セキュリティ目的を立てることができ、具体的な計画を策定することが可能となります。――つまり、PDCAサイクルのPの部分を綿密に構築するためにリスクアセスメントは非常に重要なプロセスなのです。
ISO27001についてはこちらで詳しく解説していますので、是非ご覧ください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい