近年、企業の情報資産を脅かすサイバー攻撃は増加の一途をたどっています。また、テレワークの普及などにより、内部からの情報漏えいリスクも変化しています。これらの脅威から、情報およびその他の関連資産(以下、「情報資産」)を守るために、多くの企業でISMS(情報セキュリティマネジメントシステム)の構築・運用が必要不可欠となっています。
ISMSを構築する上で、心臓部とも言える重要なプロセスが「リスクアセスメント」です。これは、組織が抱えるリスクを明確にし、その大きさを評価する手続きのことです。
本記事では、ISO27001に基づいたISMSにおけるリスクアセスメントの目的や必要性を解説し、具体的なプロセスの流れをわかりやすく紹介します。
これからISMS認証取得を目指す企業様はもちろん、運用の見直しを図りたいご担当者様も、ぜひ最後までお読みください。
目次
ISMSにおけるリスクアセスメントとは?
ISMSを構築・改善していくためには、リスクアセスメントの実施は必須事項といえます。まずは、その定義と目的について解説します。
リスクアセスメントの定義
ISO27000シリーズ(情報セキュリティマネジメントシステムの国際規格)では、リスクアセスメントを次のように定義しています:
「情報セキュリティリスクを特定し、分析し、評価する一連のプロセス」
つまり、「自分たちの組織にどのような情報資産があり、どのような脅威(リスク)があるのか」を見つけ出し(特定)、それが「どのくらいの頻度や影響度で起こりうるのか」を調べ(分析)、その結果に基づいて「対策が必要かどうか」を判断する(評価)一連の流れを指します。
リスクアセスメントを行う目的と必要性
リスクアセスメントの最大の目的は、「限られた経営資源(ヒト・モノ・カネ)を、どのリスク対策に優先的に配分すべきか」を決定することにあります。
すべての情報資産に対して、最高レベルのセキュリティ対策を施すことは、コストや業務効率の面で現実的ではありません。 リスクアセスメントを実施しない、あるいは実施が不十分な場合、以下のような問題が起こり得ます。
- 過剰な対策: 重要度の低い情報に高額なセキュリティシステムを導入してしまう。
- 対策の不足: 本当に守るべき重要情報への対策が抜け落ちてしまう。
- 緊急時の混乱: 問題発生時に、何を優先して対応すべきかが判断できない。
結果として、情報漏えいなどの事故発生時に被害が拡大し、企業の社会的信頼の失墜や顧客離れにつながる恐れがあります。効果的かつ効率的なセキュリティ対策を行うために、リスクアセスメントは不可欠なのです。
ISMSにおけるリスクアセスメントのプロセス
ここからは、実際にリスクアセスメントを行う際の手順と、その後に行う「リスク対応」について解説します。 プロセスは大きく分けて以下の4つのステップで進行します。
1. リスクの特定
2. リスクの分析
3. リスクの評価
4. リスクへの対応
その前に、前提知識として「リスク」の正体を理解しておきましょう。
リスクとは?
情報セキュリティにおけるリスクとは、情報の「機密性」「完全性」「可用性」が損なわれる可能性を指します。これらは情報セキュリティの三大要素(CIA)と呼ばれています。
- 機密性を損なうリスク(Confidentiality) 許可された人だけが情報にアクセスできる状態が崩れること。 (例:不正アクセスによる情報漏えい、USBメモリの紛失など)
- 完全性を損なうリスク(Integrity) 情報が正確かつ完全な状態が崩れること。 (例:Webサイトの改ざん、操作ミスによるデータの誤入力・破壊など)
- 可用性を損なうリスク(Availability) 必要な時に情報やシステムが利用できる状態が崩れること。 (例:サーバーダウンによるシステム停止、自然災害による機器の破損など)
手順1. リスクの特定
リスクの特定とは、組織が保有する情報資産を洗い出し、それに対するリスク(脅威と脆弱性)を発見するプロセスです。
一般的には以下の手順で行われます。
- 情報資産の洗い出し: 顧客情報、社員情報、取引情報、名簿、設計図、PC、サーバーなど、守るべき情報資産を目録化します。
- 脅威の特定: それらの情報資産に対して「誰が」「何を」する可能性があるかを考えます。
【リスクの特定の例】
- 機密性: 社員がフィッシングメールを開封し、顧客データが外部へ流出する。
- 完全性: システムのバグにより、請求金額のデータが誤って書き換わる。
- 可用性: ランサムウェアに感染し、業務データが暗号化されて開けなくなる。
手順2. リスクの分析
特定されたリスクについて、「それが実際に起きる確率はどのくらいか(発生頻度)」「起きた場合の被害はどのくらいか(影響度)」を分析し、リスクの大きさを算定するプロセスです。
主な手法として、以下の2つがあります。
- ベースラインアプローチ あらかじめ用意された一般的なセキュリティ基準(ガイドライン)と自社の現状を比較し、ギャップを分析する方法です。手間が少なくスピーディーですが、自社特有のリスクを見落とす可能性があります。
- 詳細アプローチ すべての情報資産に対し、その価値や脅威、脆弱性を個別に詳細に分析する方法です。精度は高いですが、多くの時間と労力を要します。
※実務では、重要な資産には詳細アプローチを用い、それ以外はベースラインアプローチを用いる「組み合わせアプローチ」がよく採用されます。
手順3. リスクの評価
分析結果をもとに、そのリスクが「受容できる範囲内か(許容可能か)」、それとも「対策が必要か」を判定するプロセスです。
多くの企業では、リスクの大きさを数値化して判断基準を設けます。 よく用いられる計算式の一例を紹介します。
リスク値 = 情報資産の価値 × 脅威の大きさ(頻度) × 脆弱性の度合い
この計算で算出された「リスク値」を、自社で定めた「受容基準」と照らし合わせます。基準値を超えたリスクについては、次の「リスク対応」が必要となります。
手順4. リスクへの対応
リスク評価の結果、対策が必要と判断されたリスクに対して、具体的な処置を決定します。ISMSでは、主に以下の4つの選択肢(リスク対応のオプション)から選択します。
1. リスク低減 リスクの発生確率や影響度を下げるための対策を実施することです。最も一般的な対応です。
- 例:ウイルス感染を防ぐために、セキュリティソフトを導入する。
- 例:誤送信を防ぐために、メール送信前のダブルチェックを義務付ける。
2. リスク回避 リスクの原因となる活動そのものを停止・廃止することです。リスクが高すぎる場合に選択されます。
- 例:情報漏えいリスクの高い、個人所有端末の業務利用(BYOD)を禁止する。
- 例:セキュリティ維持が難しい古いサービスから撤退する。
3. リスク移転 リスクの一部または全部を他者へ移すことです。
- 例:サイバー保険に加入し、金銭的損害に備える。
- 例:サーバー管理を、セキュリティ体制の整ったデータセンター事業者へ委託する。
4. リスク受容(保有) リスクの存在を認識した上で、あえて特別な対策を行わず、残留リスクとしてそのまま受け入れることです。 発生確率や影響が極めて低い場合や、対策コストが被害額を大幅に上回る場合に選択されます。ただし、単なる放置ではなく「監視」は続ける必要があります。
リスクアセスメントを行い、よりよいISMSの構築・運用を講じましょう
本記事では、ISMSにおけるリスクアセスメントの流れと重要性について解説しました。
リスクアセスメントは、一度行えば終わりではありません。新たな脅威の出現や業務環境の変化に合わせて、定期的に見直しを行うことが、ISMSを形骸化させないための鍵となります。
しっかりとリスクを見つめ直し、実効性のあるセキュリティ対策を講じていきましょう。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
リスクアセスメントはISMS構築の要ですが、初めて取り組む企業様にとっては「どこまで細かくやるべきか」「判断基準はどうすればいいか」など、悩みの種になりやすい部分でもあります。
オプティマ・ソリューションズは、数多くのお客様のISMS取得・運用をご支援してきました。弊社のコンサルティングには、以下のような特長があります。
・スピード対応: メール返信や見積もり対応が速く、認証の最短取得を強力にサポートします。
・柔軟な支払い: 月々定額の分割払いに対応し、キャッシュフローへの負担を軽減します。
・全国対応: 東京、大阪、名古屋に拠点を持ち、全国のお客様をサポート可能です。
・工数削減: 3,500件以上の実績から生まれたオリジナルテンプレートを活用し、文書作成の手間を大幅に削減します。
・E-Learning無料提供: 運用に不可欠な従業者教育のためのツールを無料でご利用いただけます。
・「自走」できる組織へ: コンサルタントが一方的に作業するのではなく、ご担当者様自身が知識やコツを習得できるよう親身にサポートし、会社の成長につなげます。
創業20年、3,500件以上の支援実績を持つ私たちが、御社に必要な対策だけを整理し、親身に寄り添ってサポートいたします。
これからISMSを取得される企業様、または運用のスリム化や更新をご希望される事業者様は、ぜひお気軽にご相談ください。
