ISO27001(ISMS)情報セキュリティリスクアセスメントとは?目的や手順を解説
- リスクアセスメントとは、「リスク特定」「リスク分析」「リスク評価」を3つのプロセスとして見た一連の流れのこと
- リスクアセスメントの実施により、組織のリスクにおける現状を把握・分析でき、リスクへの対策方法を決めるための判断材料を揃えられる
ISO27001 規格のマネジメントシステムを構築するためには、情報セキュリティ方針 を定め、リスクアセスメントを行う必要があります。このリスクアセスメントとは一体何のことで、どのようにしてリスクアセスメントを実施すれば良いのでしょうか?
今回は、ISO27001におけるリスクアセスメントの目的や流れ、リスク対応の流れを解説していきます。
目次
情報セキュリティにおけるリスクアセスメントとは?
リスクアセスメントとは、「リスク特定」、「リスク分析」、「リスク評価」を3つのプロセスとして見た一連の流れのことです。労働安全衛生マネジメントシステムや環境マネジメントシステムなど、さまざまなジャンルで利用されるリスク管理の手法となっています。
簡単にいえば、まず「どのようなリスクがあるのか」を洗い出し、「そのリスクにどの程度の影響範囲」があり、「どの程度重要なのか」を調査します。
次に、そのリスクのレベルや重要性について決定し、最終的に「組織的にどのように対応していくのか」を判断する材料を揃えることです。
リスクアセスメントの目的
リスクアセスメントの目的は、情報セキュリティリスクを低減し、組織の情報資産を守ることです。情報セキュリティが侵されると、自社だけでなく顧客や取引先などにも悪影響を与える可能性があります。
情報資産を守るには、まず社内にどのようなリスクがあるのかを知る必要があります。
そのためリスクアセスメントを行い、社内に潜むリスクを抽出し、評価するのです。
情報セキュリティにおけるリスクアセスメントの必要性
ISOプロを運営するNSSスマートコンサルティング株式会社の「自社の情報セキュリティ管理の課題に関する実態調査」によると、自社の情報セキュリティ対策は万全だと思わないという方が31.5%いました。
そのうち、「情報セキュリティ対策が万全でないと思う理由として近いものを教えてください(複数回答可)」という質問には、以下の回答が多くありました。
- 『データや書類の保管・破棄に関するルールが明確に定まっていないため(36.3%)』
- 『オフィス以外にデータを持ち出せる状態のため(35.0%)』
- 『実際に問題が発生したことがあるため(26.8%)』
この調査により、リスクアセスメントやリスク対応ができていないこと企業があることがわかります。また、行っていたとしても不十分だった場合には、実際に問題が発生したことで発覚することもあるでしょう。
そのため情報セキュリティ体制を強化するには、リスクアセスメントを慎重かつ丁寧に行うことが必要なのです。
情報セキュリティアセスメントにおける3つの観点
情報セキュリティアセスメントにおける3つの観点について解説します。
- 機密性:アクセス権限をもつ者だけが情報にアクセスできること
- 完全性:情報が正確かつ最新であること
- 可用性:アクセス権限をもつ者が、いつでも情報にアクセスできること
情報セキュリティ体制を強化するには、これら3つの要素をバランスよく高めることが求められます。そのためリスクアセスメントを実施する際には、それぞれの要素におけるリスクを洗い出すことが大切です。
情報セキュリティにおけるリスクアセスメントの流れ
リスクアセスメントの実施に向けて、リスクアセスメントがどのようにして行われるのかという大きな流れを掴んでおきましょう。
1.リスク特定
リスク特定は、組織がどのようなリスクを抱えているのかを発見するプロセスのことです。ISO27001における情報セキュリティ上のリスクとは、情報セキュリティの三大要素(可用性、機密性、完全性)を損なわせる要因のことです。
まずは社内で保有している情報資産を洗い出しましょう。以下の2つのやり方があります。
- 情報資産管理台帳をもとに、情報資産ごとのリスクを洗い出す
- 業務フローに沿って、起こりうるリスクを洗い出す
リスクを検討する際には、情報セキュリティの三大要素(機密性、完全性、可用性)を損なわせる要因を洗い出します。以下に具体例を挙げていますので、参考にしてください。
機密性 |
|
---|---|
完全性 |
|
可用性 |
|
関連記事:情報セキュリティの機密性を損なうリスクにはどのようなものがある?
関連記事:完全性を損なうリスクにはどのようなものがあるの?
関連記事:可用性を損なうリスクにはどのようなものがあるの?
2.リスク分析
リスク分析とは、リスク特定によって発見されたリスクが、「どのような特性」で「どの程度の影響」をもたらすのかを調査するプロセスのことです。
リスク分析の代表的な手法に、以下の2つのアプローチがあります。
ベースラインアプローチ:従来のガイドラインをもとにリスク管理を行う方法
ベースラインアプローチは、ガイドラインをベースとするため、ガイドラインのレベルによりセキュリティレベルが異なります。また、ガイドラインは最低限の基準であるため、リスク管理が不十分になる可能性があります。そのため、次に紹介する詳細アプローチと組み合わせてアプローチすることがよくあります。
詳細アプローチ(詳細リスク分析):情報資産の価値を評価し、計数化してリスク管理する方法
以下に詳細アプローチの一例を紹介します。情報資産やセキュリティリスクにおいて、主に以下の3つの観点から分析していきます。
- 重要度:その情報資産は、どの程度組織にとって重要か
- 発生率:そのセキュリティリスクは、どの程度起こりうるか
- 脆弱性:その情報資産は、どの程度管理されているか
情報資産の重要度は、機密性、完全性、可用性において資産価値やリスクがあった際の脅威を評価します。
例えば、以下のように評価をしますが、レベルの段階と内容は組織の実情に合わせた設定を行います。
レベル | クラス | 機密性 | 完全性 | 可用性 |
---|---|---|---|---|
1 | 低 | 社外公開可 | 社内の限定範囲のみ影響 | 数日停止しても問題ない |
2 | 中 | 社内のみ公開可 | 社内のみ影響 | 日中に使用できれば問題ない |
3 | 高 | 関係者のみ公開可 | 社内外に影響 | 常に使用する必要がある |
セキュリティリスクの発生率は、例えば、以下のように評価します。
レベル | クラス | 発生率 |
---|---|---|
1 | 発生率小 | 10%未満 |
2 | 発生率中 | 10%~50% |
3 | 発生率大 | 50%以上 |
情報資産の脆弱性は、例えば、以下のように評価します。
レベル | クラス | 脆弱性 |
---|---|---|
1 | 脆弱性低 | 適切に管理されている |
2 | 脆弱性中 | 管理方法に改善の余地がある |
3 | 脆弱性大 | 管理されていない |
3.リスク評価
リスク評価とは、リスク分析で調査した結果をもとに、リスクの影響範囲や重要性をかけ合わせ、最終的にそのリスクをどのように対応するのかを判断する材料を整えるプロセスです。
具体的には、指標となるリスク値を設けてそれぞれの情報資産を数値化し、評価を可視化します。リスク値は、以下のように算出します。なお、リスク値を出すことは必須ではありません。
『リスク値=重要度レベル×発生率レベル×脆弱性レベル』
その後、自社で設けているリスク値の基準と照らし合わせ、情報セキュリティ対策の必要性について判断します。
リスク評価の具体例
例えば、「データ保管にクラウドサービスを利用した営業職のパソコン」の場合のリスク値の算出やリスク評価を以下に解説します。
1.重要度の算出例
重要度は、最も高いものを重要度のレベルとします。
機密性 | 完全性 | 可用性 | 重要度 | |
---|---|---|---|---|
リスク評価レベル | 2 | 2 | 3 | 3 |
備考 | IDとパスワードがあれば、どの媒体からでもアクセスできる | もしリスクがあっても社内のみに影響する | 常に使用する必要がある | 可用性のリスクレベルが3であるため |
2.発生率の算出例
発生率は、どの程度そのリスクが発生するかを評価します。
発生率を決める根拠となる背景 | 発生率レベル |
---|---|
|
2 |
3.脆弱性の算出例
脆弱性は、そのリスクの管理基準について評価します。
脆弱性を決める根拠となる背景 | 脆弱性レベル |
---|---|
|
2 |
4.リスク値の算出例
上記の算出したレベルをもとに、リスク値を算出。対応についてリスク評価を実施します。
リスク値算出の根拠 | リスク値 |
---|---|
3(重要度レベル)×2(発生率レベル)×2(脆弱性レベル)=12 | 2 |
リスク値を、自社のリスク値の基準と照らし合わせ、リスクへの対応をどうするか判断します。
情報セキュリティリスクに対応する4つの方法
ISO27001では、リスクアセスメントを行った結果をもとに、リスク対応を実施します。リスク対応の方法は大きく分けて「リスク低減」「リスク回避」「リスク回避」「リスク移転」の4種類があります。
リスク軽減(低減)
リスク軽減は、そのリスクが発生する可能性の軽減や、リスクが発生した場合に影響範囲が小さくなるように対策を施すことです。
例えばノートパソコンの紛失や盗難に備えて、保存する情報の暗号化や、パスワードの定期的な変更を行う対策が挙げられます。
リスク回避
リスク回避は、リスクが発生しないように代替方法に切り替えたり、その行為そのものを禁止したりする対策を行います。
例えば、以下のような対策が挙げられます。
- パソコンの持ち出しを禁止する
- サーバールームの入退室管理を、警備員によるチェックから指紋認証設備によるチェックに変更する
リスク移転
リスク移転とは、リスクが発生する可能性のある業務そのものを外部委託したり、あらかじめ保険に入ったりする対応です。
例えば、社内の情報システムの運用を他社に委託するなどの対策が挙げられます。
リスク受容
リスク受容は、管理策を講じず、リスクが発生した際の影響について受け入れることです。リスクの対策を講じないといっても、リスクを認識しなくて良いわけではありません。
リスクを受容する場合にも、「なぜリスク対応しないのか」という根拠が明確にあることが大切です。
情報セキュリティにおけるリスクアセスメントを有効活用するポイント
情報セキュリティにおけるリスクアセスメントを有効活用するポイントを解説します。
リスクアセスメントの本質を理解する
リスクアセスメントは手間や時間がかかるうえ、PDCAサイクルを回すうちに形骸化やマンネリ化しやすい傾向があります。
それは、リスクアセスメントのやり方にとらわれてしまい、「組織内のリスクについて把握し、そのうち対策すべきものの優先順位を明確にする」という目的から逸脱しやすいためといえるでしょう。
自社の情報資産や業務プロセスといった実情に沿ったリスクアセスメントの仕組みを形成することが重要です。リスク評価に適した手法を選定し、自社の内部にある情報セキュリティリスクにおける修正点を見つけましょう。
評価基準の設定を明確に行う
ISO27001では、情報セキュリティマネジメントシステムの継続的改善を目指します。そのため、担当者が変わっても同じようにリスクアセスメントを行えるように評価基準を設定することが必要です。
数値で評価することで客観的に判断できますが、最終的なリスク評価の際には、具体的な基準を設定すると担当者ごとの判断のブレをより抑えられます。
例えば、各項目の評価に「1点」「2点」「3点」とバラつきがある場合には、最高点を採用するといった基準をつくると、誰であっても「3点」という評価を下せます。
情報セキュリティリスクアセスメントとISO27001(ISMS)の関係
ここでは情報セキュリティリスクアセスメントを行ううえでよく聞くISO27001(ISMS)との関係性を解説します。
ISO27001(ISMS)とは
ISO27001(ISMS)とは、情報リスクマネジメントシステムにおける国際規格です。
ISO27001を取得するには、要求事項を満たす情報セキュリティマネジメントシステム(ISMS)を構築・運用することが必要です。
その要求事項の一つに、リスクアセスメントの実施が記載されています。そのため、ISO27001を取得するには必ずリスクアセスメントを実施しなければなりません。
ISO27001(ISMS)で求められるリスクアセスメントとは
情報セキュリティ上のリスクは数多く存在しますが、どのようなリスクが存在するのかは、組織の状況や内外の課題、適用範囲などによって異なります。
そのためISO27001で求められるリスクアセスメントとは、情報セキュリティの三大要素である機密性・完全性・可用性をバランスよく高める「仕組み」であることです。
ISO27001ではリスクの評価もせずに「このリスクに対策を施していく」という非合理的な方法は求めていません。
クリティカルなリスクにはどのようなものがあり、それが対応すべきリスクかどうかを判断したうえで計画を策定することをISO27001は求めているのです。
ISMSリスクアセスメントの成功事例
ISMSリスクアセスメントやリスク対応における成功事例を紹介します。
シンクレイヤ株式会社
シンクレイヤ株式会社は、ケーブルテレビシステムや情報通信システムに関する設計や施工、保守などを行っている製造会社です。
顧客からの情報セキュリティに対する要求が高まり、ISO27001を取得。
取り組みの過程で実施した情報リスクアセスメントにより、「自部署の情報資産の棚卸しやリスクの再確認などのこれまで手をつけづらかったことにも着手できた」と管理体制に関する見直しができたことに手応えを感じた様子でした。
シンクレイヤ株式会社の事例の詳細は、以下の記事をご覧ください。
株式会社トップ・マネジメント
株式会社トップ・マネジメントは、中小企業の資金繰りをファクタリング(債権買取)し、資金調達方法を支える事業を行っています。
「売掛金を売却」するというサービス内容のため、「不安」や「心配」などの感情を抱かれる顧客も少なくなかったため、より安心してもらえる体制づくりとしてISO27001を取得。
その際に情報管理におけるルールを明確化したハンドブックを作成し、全社員に周知して仕組みを構築しました。例えば、パソコン内のファイルという情報資産におけるリスクを洗い出し、ルールを定めて対応しました。フォルダを取り扱う社員に役割と権限を与えるというリスク対応を実施。
ルールを明確化したことで、社内全体の意識向上につながりました。
株式会社トップ・マネジメントの事例の詳細は、以下の記事をご覧ください。
日本特許翻訳株式会社
日本特許翻訳株式会社は、AI翻訳による統合翻訳支援ツールを提供する翻訳業の会社です。
セキュリティ担保に関する顧客からの質疑応答が多く、ISO取得を要請されていたためISO27001を取得。
都内にデータセンターを保有しているものの1か所であるため、顧客から「地震や火事などの有事の際の対応はどうするか」などの質問が多くありました。
こうしたリスクを抽出し、データのバックアップ方法を検討、2つ目のデータセンターを構築するなどの対応を実施。セキュリティ担保の仕組みを構築したことで、セキュリティに対する向き合い方が非常にクリアになったと実感されています。
日本特許翻訳株式会社の事例の詳細は、以下の記事をご覧ください。
まとめ
今回は、情報セキュリティリスクアセスメントについて解説してきました。リスクアセスメントを行うことで組織は情報セキュリティ目的を立てることができ、具体的な計画を策定することが可能となります。――つまり、PDCAサイクルのPの部分を綿密に構築するためにリスクアセスメントは非常に重要なプロセスなのです。
ISO27001についてはこちらで詳しく解説していますので、是非ご覧ください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい