ISO27001（ISMS）リスクアセスメントとは？流れやリスク対応について解説

ISO27001 規格 のマネジメントシステム を構築するためには、情報セキュリティ方針 を定め、リスクアセスメントを行う必要があります。このリスクアセスメントとは一体何のことで、どのようにしてリスクアセスメントを実施すれば良いのでしょうか？

今回は、ISO27001におけるリスクアセスメントについて解説していきます。

リスクアセスメントとは？

リスクアセスメントとは、「リスク特定 」、「リスク分析 」、「リスク評価 」を3つのプロセスとして見た一連の流れのことです。労働安全衛生マネジメントシステムや環境マネジメントシステムなど、さまざまなジャンルで利用されるリスク管理の手法となっています。

簡単にいえば、まず「どのような情報資産があるのか」を洗い出し、「その資産のリスクがどの程度の影響範囲」があり、「どの程度重要なのか」を調査します。
次に、そのリスクのレベルや重要性について決定し、最終的に「組織的にどのように対応していくのか」を判断する材料を揃えることです。

ISO27001（ISMS）におけるリスクアセスメント

ISO27001（ISMS ）とは、情報リスクマネジメント システムにおける国際規格のことです。組織のもつ情報資産における、情報セキュリティの三大要素である機密性 ・完全性 ・可用性をバランスよく高め、セキュリティリスクを低減することを目的としています。情報漏えいやサイバー攻撃といったセキュリティリスクから保護において、取得する企業が増えています。必ずしもセキュリティレベルを高めるだけでなく、使いやすくするといったことも含まれます。

ISO27001（ISMS）の要求事項において、リスクアセスメントの実施が求められています。
情報セキュリティ上のリスクというのは数多く存在しますが、どのようなリスクが存在するのかは、組織の状況や内外の課題、 適用範囲 などによって異なります。また、ISO27001では、「このようなリスクに対策を施していく」という非合理的な方法は求めていません。

クリティカルなリスクにはどのようなものがあり、それが対応すべきリスクかどうかを判断した上で計画を策定することをISO27001は求めているのです。

リスクアセスメントの実施に向けて

リスクアセスメントの実施に向けて、リスクアセスメントがどのようにして行われるのかという大きな流れを掴んでおきましょう。まずはリスク特定です。

リスク特定

リスク特定は、組織がどのようなリスクを抱えているのかということを発見するプロセスのことです。ISO27001における情報セキュリティ上のリスクとは、情報セキュリティの三大要素（可用性、機密性、完全性）を損なわせる要因のことです。

まず、社内で保有している情報資産を洗い出しましょう。資産といっても組織における価値の大きさで判断すべきではありません。紙の書類やサーバー、パソコン、USBメモリ、HDDなどに保存されている情報はすべて情報資産となります。
情報資産の洗い出しは、思いついた順ではなく、業務フローに沿って行うことがおすすめです。情報資産の漏れを防ぎ、効率的に行うことができます。洗い出した情報資産は、「営業」「人事」「システム」などのように管理する部門ごとに分類してください。
その後、それぞれの情報資産において、可用性、機密性、完全性の面で、以下のようなリスクがないかということを発見していきましょう。

可用性を損なうリスク

• ファイルのパスワードの失念
• サーバーが停止してしまう
• 社内にいないとデータにアクセスできない

機密性を損なうリスク

• メールで誤った宛先に送信してしまう
• ウイルス感染によって機密情報が流出してしまう
• 記憶可能媒体の紛失による情報漏えい
• SNSや人混みで機密情報を話してしまう

完全性を損なうリスク

• ウイルスの感染によってデータベースが改ざんされてしまう
• データの入力ミス
• プログラムの誤作動によってデータが書き換えられる
• データが破損してしまう

リスク分析

リスク分析とは、リスク特定によって発見されたリスクが、どのような特性を持っており、どの程度の影響を持つものなのかということを調査するプロセスのことです。

情報資産やセキュリティリスクにおいて、主に以下の3つの観点から分析していきます。

• 重要度：その情報資産は、どの程度組織にとって重要か
• 発生率：そのセキュリティリスクは、どの程度起こりうるか
• 脆弱性：その情報資産は、どの程度管理されているか

情報資産の重要度は、機密性、完全性、可用性において評価します。例えば、以下のように評価をしますが、レベルの段階と内容は組織の実情に合わせた設定が可能です。

セキュリティリスクの発生率は、例えば、以下のように評価します。

情報資産の脆弱性は、例えば、以下のように評価します。

リスク評価

リスク評価とは、そのリスクがどの程度の頻度で発生するのか、リスク分析で調査した結果をもとに、そのリスクの影響範囲や重要性を掛け合わせ、最終的にそのリスクをどのようにするのかを判断する材料を整えるプロセスです。

具体的には、指標となるリスク値を設け、それぞれの情報資産を数値化し、評価を可視化できるようにするのです。リスク値は、以下のように算出します。ちなみにリスク値を出すことは必須ではありません。

リスク値＝重要度レベル×発生率レベル×脆弱性レベル

その後、自社で設けているリスク値の基準と照らし合わせ、対策の必要性について判断していきます。

リスクに対応する4つの手順

ISO27001では、リスクアセスメントを行った結果、リスク対応を実施していきます。このリスク対応にはどのような種類があるのかということについても理解しておくと、リスクアセスメントも実施しやすくなるでしょう。

リスク対応の方法は大きく分けて4種類あります。

リスク軽減（低減）

リスク軽減は、そのリスクが発生する可能性を軽減したり、リスクが発生したとしても影響範囲が小さくなるような対策を施したりすることです。

例えば、ノートパソコンの紛失や盗難に備えて、保存する情報を暗号化したり、パスワードを定期的に変更したりする対策が挙げられます。

リスク回避

リスク回避は、そのリスクの元を断つような対応です。リスクの発生率を下げる対策を行います。

例えば、従業員に情報セキュリティに関する教育を実施し、セキュリティに対する知識の充実と意識の向上を図るといった対策やサーバールームへの入退室管理に指紋認証設備を導入するといった対策が挙げられます。

リスク移転

リスク移転とは、リスク発生時にその影響を外部に移転するような対応です。ただし、すべてのリスクを移転することは難しい可能性があります。

例えば、社内の情報システムの運用を他社に委託するといった対策が挙げられます。

リスク受容

リスク受容は、管理策を講じず、リスクを認識はするもののリスクを放置するような対策です。リスク対応の方法にはリスクをそのまま保有することも可能であることを意識しても良いでしょう。

ISO27001（ISMS）リスクアセスメントを有効活用するポイント

リスクアセスメントは手間や時間がかかるうえ、PDCAサイクルを回すうちに形骸化やマンネリ化しやすい傾向があります。それは、リスクアセスメントのやり方にとらわれてしまい、「組織内のリスクについて把握し、そのうち対策すべきものの優先順位を明確にする」という目的から逸脱しやすいためといえるでしょう。

そうならないようにするには、自社の情報資産や業務プロセスといった実情に沿ったリスクアセスメントの仕組みを形成することが重要です。具体的な基準を設けることを意識し、自社の内部にある情報セキュリティリスクにおける修正点を見つけましょう。

まとめ

今回は、ISO27001のリスクアセスメントについて解説してきました。リスクアセスメントを行うことで組織は情報セキュリティ目的 を立てることができ、具体的な計画を策定することが可能となります。――つまり、PDCAサイクルのPの部分を綿密に構築するためにリスクアセスメントは非常に重要なプロセスなのです。

ISO27001についてはこちらで詳しく解説していますので、是非ご覧ください。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。