ISO27001(ISMS)リスクアセスメントとは?流れやリスク対応について解説
- リスクアセスメントとは、「リスク特定」「リスク分析」「リスク評価」を3つのプロセスとして見た一連の流れのこと
- リスクアセスメントの実施により、組織のリスクにおける現状を把握・分析でき、リスクへの対策方法を決めるための判断材料を揃えられる
ISO27001 規格 のマネジメントシステム を構築するためには、情報セキュリティ方針 を定め、リスクアセスメントを行う必要があります。このリスクアセスメントとは一体何のことで、どのようにしてリスクアセスメントを実施すれば良いのでしょうか?
今回は、ISO 27001におけるリスクアセスメントの目的や流れ、リスク対応の流れを解説していきます。
目次
リスクアセスメントとは?
リスクアセスメントとは、「リスク特定 」、「リスク分析 」、「リスク評価 」を3つのプロセスとして見た一連の流れのことです。労働安全衛生マネジメントシステムや環境マネジメントシステムなど、さまざまなジャンルで利用されるリスク管理の手法となっています。
簡単にいえば、まず「どのようなリスクがあるのか」を洗い出し、「そのリスクにどの程度の影響範囲」があり、「どの程度重要なのか」を調査します。
次に、そのリスクのレベルや重要性について決定し、最終的に「組織的にどのように対応していくのか」を判断する材料を揃えることです。
リスクアセスメントの目的
リスクアセスメントの目的は、組織内部にあるリスクと現状の対策を把握し、組織で発生しうるリスクをできるだけ取り除くことです。
例えば、災害もそのリスクの一つです。労働安全衛生の観点では、従業員の安全対策について検討します。また、環境マネジメントシステムの観点では、有害物質が周辺に流出しないように対策することを検討します。
ISO27001(ISMS)におけるリスクアセスメント
ISO27001(ISMS
)とは、情報リスクマネジメント
システムにおける国際規格です。
ISO27001を取得するには、定められている要求事項を満たす情報セキュリティマネジメントシステムを構築・運用することが必要です。その中で、リスクアセスメントの実施が求められています。
情報セキュリティ上のリスクというのは数多く存在しますが、どのようなリスクが存在するのかは、組織の状況や内外の課題、
適用範囲
などによって異なります。また、ISO27001ではリスクの評価もせずに「このリスクに対策を施していく」という非合理的な方法は求めていません。
クリティカルなリスクにはどのようなものがあり、それが対応すべきリスクかどうかを判断したうえで計画を策定することをISO27001は求めているのです。
ISO27001(ISMS)の目的
ISO27001の目的は、組織が保有する情報資産のセキュリティリスクを低減することにあります。そのために、情報セキュリティの三大要素である機密性 ・完全性 ・可用性をバランスよく高めることが求められています。
機密性:アクセス権限をもつ者だけが情報にアクセスできること
完全性:情報が正確かつ最新であること
可用性:アクセス権限をもつ者が、いつでも情報にアクセスできること
必ずしもセキュリティレベルを高めるだけでなく、情報資産を活用しやすくすることも三大要素に含まれます。
ISO27001(ISMS)におけるリスクの具体例
以下に、情報セキュリティの三大要素ごとのリスク具体例を挙げています。リスクを特定する際の参考にしてください。
機密性のリスク:アクセス権限のない者が情報にアクセスできてしまうリスク
- メールで誤った宛先に送信してしまう
- ウイルス感染によって機密情報が流出してしまう
- 記憶可能媒体の紛失により情報が漏えいする
- SNSや人混みで機密情報を話してしまう
完全性のリスク:情報が正確かつ最新でなくなるリスク
- ウイルスの感染によってデータベースが改ざんされてしまう
- データの入力ミス
- プログラムの誤作動によってデータが書き換えられる
- データが破損してしまう
可用性のリスク:アクセス権限のある者が、情報にアクセスできなくなるリスク
- ファイルのパスワードの失念
- サーバーが停止してしまう
- 社内にいないとデータにアクセスできない
- 自然災害によるサーバーの破損
リスクアセスメントの流れ
リスクアセスメントの実施に向けて、リスクアセスメントがどのようにして行われるのかという大きな流れを掴んでおきましょう。
リスク特定
リスク特定は、組織がどのようなリスクを抱えているのかを発見するプロセスのことです。ISO27001における情報セキュリティ上のリスクとは、情報セキュリティの三大要素(可用性、機密性、完全性)を損なわせる要因のことです。
まず、社内で保有している情報資産を洗い出しましょう。資産といっても組織における価値の大きさで判断すべきではありません。紙の書類やサーバー、パソコン、USBメモリ、HDDなどに保存されている情報はすべて情報資産となります。
情報資産の洗い出しは、思いついた順ではなく、業務フローに沿って行うことがおすすめです。情報資産の漏れを防ぎ、効率的に行えます。洗い出した情報資産は、「営業」「人事」「システム」などのように管理する部門ごとに分類してください。
リスク分析
リスク分析とは、リスク特定によって発見されたリスクが、どのような特性で、どの程度の影響をもたらすのかを調査するプロセスのことです。
リスク分析の代表的な手法に、以下の2つのアプローチがあります。
ベースラインアプローチ:従来のガイドラインをもとにリスク管理を行う方法
詳細アプローチ(詳細リスク分析):情報資産の価値を評価し、計数化してリスク管理する方法
ベースラインアプローチは、ガイドラインをベースとするため、ガイドラインのレベルによりセキュリティレベルが異なります。また、ガイドラインは最低限の基準であるため、リスク管理が不十分になる可能性があります。そのため、詳細アプローチと組み合わせてアプローチすることがよくあります。
そこで、以下に詳細アプローチの一例を紹介します。情報資産やセキュリティリスクにおいて、主に以下の3つの観点から分析していきます。
- 重要度:その情報資産は、どの程度組織にとって重要か
- 発生率:そのセキュリティリスクは、どの程度起こりうるか
- 脆弱性:その情報資産は、どの程度管理されているか
情報資産の重要度は、機密性、完全性、可用性において資産価値やリスクがあった際の脅威を評価します。例えば、以下のように評価をしますが、レベルの段階と内容は組織の実情に合わせた設定を行います。
| レベル | クラス | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|
| 1 | 低 | 社外公開可 | 社内の限定範囲のみ影響 | 数日停止しても問題ない |
| 2 | 中 | 社内のみ公開可 | 社内のみ影響 | 日中に使用できれば問題ない |
| 3 | 高 | 関係者のみ公開可 | 社内外に影響 | 常に使用する必要がある |
セキュリティリスクの発生率は、例えば、以下のように評価します。
| レベル | クラス | 発生率 |
|---|---|---|
| 1 | 発生率小 | 10%未満 |
| 2 | 発生率中 | 10%~50% |
| 3 | 発生率大 | 50%以上 |
情報資産の脆弱性は、例えば、以下のように評価します。
| レベル | クラス | 脆弱性 |
|---|---|---|
| 1 | 脆弱性低 | 適切に管理されている |
| 2 | 脆弱性中 | 管理方法に改善の余地がある |
| 3 | 脆弱性大 | 管理されていない |
リスク評価
リスク評価とは、そのリスクがどの程度の頻度で発生するのか、リスク分析で調査した結果をもとに、そのリスクの影響範囲や重要性を掛け合わせ、最終的にそのリスクをどのようにするのかを判断する材料を整えるプロセスです。
具体的には、指標となるリスク値を設け、それぞれの情報資産を数値化し、評価を可視化できるようにするのです。リスク値は、以下のように算出します。なお、リスク値を出すことは必須ではありません。
リスク値=重要度レベル×発生率レベル×脆弱性レベル
その後、自社で設けているリスク値の基準と照らし合わせ、情報セキュリティ対策の必要性について判断します。
最後に、リスク評価の具体例として、「データ保管にクラウドサービスを利用した営業職のパソコン」を以下に紹介します。重要度は、最も高いものを重要度のレベルとします。
| 機密性 | 完全性 | 可用性 | 重要度 | |
|---|---|---|---|---|
| リスク評価レベル | 2 | 2 | 3 | 3 |
| 備考 | IDとパスワードがあれば、どの媒体からでもアクセスできる | もしリスクがあっても社内のみに影響する | 常に使用する必要がある | 可用性のリスクレベルが3であるため |
リスクに対応する4つの方法
ISO27001では、リスクアセスメントを行った結果、リスク対応を実施していきます。このリスク対応にはどのような種類があるのかについても理解しておくと、リスクアセスメントも実施しやすくなるでしょう。
リスク対応の方法は大きく分けて4種類あります。
リスク軽減(低減)
リスク軽減は、そのリスクが発生する可能性を軽減したり、リスクが発生したとしても影響範囲が小さくなるような対策を施したりすることです。
例えば、ノートパソコンの紛失や盗難に備えて、保存する情報を暗号化したり、パスワードを定期的に変更したりする対策が挙げられます。
リスク回避
リスク回避は、そのリスクの元を断つような対応です。リスクの発生率を下げる対策を行います。
例えば、従業員に情報セキュリティに関する教育を実施し、セキュリティに対する知識の充実と意識の向上を図るといった対策やサーバールームへの入退室管理に指紋認証設備を導入するといった対策が挙げられます。
リスク移転
リスク移転とは、リスク発生時にその影響を外部に移転するような対応です。ただし、すべてのリスクを移転することは難しい可能性があります。
例えば、社内の情報システムの運用を他社に委託するといった対策が挙げられます。
リスク受容
リスク受容は、管理策を講じず、リスクを認識はするもののリスクを放置するような対策です。リスク対応の方法にはリスクをそのまま保有することも可能であることを意識しても良いでしょう。
ISO27001(ISMS)リスクアセスメントを有効活用するポイント
リスクアセスメントは手間や時間がかかるうえ、PDCAサイクルを回すうちに形骸化やマンネリ化しやすい傾向があります。それは、リスクアセスメントのやり方にとらわれてしまい、「組織内のリスクについて把握し、そのうち対策すべきものの優先順位を明確にする」という目的から逸脱しやすいためといえるでしょう。
そうならないようにするには、自社の情報資産や業務プロセスといった実情に沿ったリスクアセスメントの仕組みを形成することが重要です。具体的な評価基準を設けることを意識し、自社の内部にある情報セキュリティリスクにおける修正点を見つけましょう。
まとめ
今回は、ISO27001のリスクアセスメントについて解説してきました。リスクアセスメントを行うことで組織は情報セキュリティ目的を立てることができ、具体的な計画を策定することが可能となります。――つまり、PDCAサイクルのPの部分を綿密に構築するためにリスクアセスメントは非常に重要なプロセスなのです。
ISO27001についてはこちらで詳しく解説していますので、是非ご覧ください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい