クラウドサービスの活用は、企業にとって避けられない選択肢となっています。SaaSやIaaSの積極的な導入は、業務効率化や柔軟な働き方を実現しますが、その一方でクラウドならではの新しいリスクと向き合わなくてはいけなくなりました。
今回は、リスクアセスメント事例をもとに、クラウド環境の安全性についてどう評価・管理すべきかをご紹介したいと思います。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
目次
クラウド環境で、より厳密なリスクアセスメントが必要な理由とは?
社内ですべてをコントロールできていたオンプレミス環境では、リスクの所在も明確で管理もそこまで複雑ではありませんでした。しかし、クラウド環境では責任の所在が曖昧になってしまうことも珍しくありません。
■データをどこに保存するか
■ベンダーはどこまでのセキュリティを提供するか
■ログやアクセス権限は適切に管理できているか
■サービス停止時の対応はどうするか
例えば、上記のようなリスクについては、クラウドサービスの導入時に把握・評価をしておかないと、何か大きなインシデントが発生した際、被害が拡大してしまう可能性があります。
残念ながら、リスクが皆無というクラウドサービスはないため、クラウドサービスを導入する際にはあらゆる事態を想定し、今まで以上に厳密なリスクアセスメントを行うことが大切です。
事例:SaaS導入時のリスクアセスメント
ひとつの事例として、SaaS導入時のリスクアセスメント手法をご紹介したいと思います。
1.情報資産の洗い出し
最初に行うのが、サービスを通じて扱う情報資産の洗い出しです。情報資産とは、クラウド上に保存されることによって、情報漏洩や不正アクセスのリスクが高まる資産のことを指します。
たとえば、顧客情報やプロジェクトの進捗データといった社外秘の情報、契約情報などが含まれます。
対象となる情報を洗い出したら、その内容を記録していきます。情報資産の目録や、リスク評価をするための保管場所シートの作成をしておきましょう。
①情報資産の目録を作る
| 項目 | 方法 |
| 情報資産 | 情報のグループにつけられる名称。 |
| 具体的な情報名 | 情報資産を構成する具体的な情報の名称。 |
| 区分 | 「極秘」、「機密」、「社外秘」、「公開」などに分類する |
| 保管場所 | 情報の保管場所を「電子媒体」「紙媒体」のそれぞれについて保管場所シート状の項目から選び出して記載する |
| リスク所有者 | 情報の内容に関して責任を有する者 |
| 保管期限 | 情報の保管期限(実際の削除時期)を記入 |
| 機密性 (C)Confidential | 認可されていない情報が使用/開示された場合3:最高(経営にも影響を及ぼしかねない重大な影響がある)2:高(短期的に業務への大きな影響がある)1:中(業務への多少の不都合や影響がある) |
| 完全性 (I)Integrity | 正確さまたは完全さが損なわれた場合3:最高(回復が容易でない信用損失が発生)2:高(多数に対する信用損失が発生)1:中(限られた者に対する信用損失が発生) |
| 可用性 (A)Availability | 認可されているにも関わらずアクセス/使用できない場合3:最高(業務停止は許容されない)2:高(翌営業日まで業務停止が許容される)1:中(1週間、業務停止が許容される) |
| 備考 | 追記が必要な情報があれば記載する |
②リスク評価をするために保管場所シートを作成する
保管場所シートには、以下のような情報を記載しておきましょう。
| 項目 | 方法 |
| 分類 | 保管場所のグループにつけられる名称。 |
| 保管場所名 | 情報資産を構成する具体的な情報の名称。 |
| 備考 | 追記が必要な情報があれば記載する |
2.想定される脅威と脆弱性の特定
情報資産の洗い出しをしたあとは、リスク評価シートを使って想定される脅威や脆弱性を特定します。
・社員によるデータ不正持出し
・外部からの不正アクセス
・サービスプロバイダからの漏えい
など、実際に利用していくなかで起こりうる事態を考えていきます。
3.リスク評価
想定される脅威や脆弱性について、発生する可能性や影響度、管理は自社が責任を負うのかベンダーに任せるのかなど、あらゆる視点からリスク評価を行います。
結果については、リスク値が高いものをリスト化しておくとよいでしょう。
具体的なリスク評価の手順については、以下のとおりです。
(1)作成した「情報資産目録」に記載された「保管場所」ごとに「リスク評価シート」を作成する。
(2)その「保管場所」に保管されている情報資産の機密性・完全性・可用性ごとの最も大きな資産価値を「最大資産価値」欄に記入する。
(3)収集・分析をした「脅威インテリジェンス」(リスク評価シートに添付)を参考にその頻度を「脅威名」欄に記入する。頻度はその脅威に日常的にさらされている場合は「3」、めったに発生しない(年1回未満)を「1」、その間の頻度を「2」とする。
(4)それぞれの脅威に対する現状の対策と、脆弱性(未対策度)を「現状の対策」欄に記入する。「追加の対策」には関係する適用宣言書番号がある場合は記入する。脆弱性(未対応度)は、脅威に対応できていない場合は「3」、ある程度対策をしているが、追加対策の余地がある場合は「2」、ほぼ対応できていると判断できる場合は「1」とする。
(5)次の式に基づき、「リスク値」を算出する。
「最大資産価値」×脅威の「頻度」×(「脆弱性」)
(6)リスク値が18以上になった脅威に対して、リスクを下げるために追加の対策を検討し、「追加の対策」欄に記入するとともに、追加の管理策の導入による脆弱性の度合いを再評価し、その結果を「対策後の脆弱性」欄に記入する。
(7)リスクが13~17の場合には、必要に応じて追加の管理策を検討する。
(8)リスクが、12以下の場合には、現在実施している対策で十分と判断し、次項は省略する。
(9)追加の対策を前提に、再度リスク値を算出し、「対策後のリスク値」に記入する。
(10)費用対効果や業務上の制約事項などにより、15以下におさえられなかったリスクは、残留リスクとする。
4.実施すべき管理策の決定
リスク評価の結果を受けて、ISMS管理者は、下記の手順に従い、実施すべき管理策を決定する。
(1)リスクアセスメントの結果に基づき、実施すべき管理策を立案する。
(2)上記(1)で決定した管理策を「付属書A」に示す管理策と比較し、必要な管理策が見落とされていないことを検証する。
(3) 検証する際には、追加・変更する管理策の費用対効果を考慮し、その保証の度合いを決定する。但し、あるリスクが特定されたものの、財務上、環境上、技術上、文化上その他の理由のために管理策を実施することが適切でないと判断した場合には、残留リスクとして定期的に見直す。
(4) 管理策の実施にあたり、一定の期間や費用を必要とするリスクに対しては「情報セキュリティリスク対応計画」を作成し、その進捗を管理する。
リスクアセスメントは定期的な見直しが不可欠
クラウドサービスは、日々アップデートしながら進化しています。そのため、リスクアセスメントは導入時だけではなく、定期的に見直していく必要があります。
半期に1回、年に1回といったような時期を決めての見直しに加えて、情報セキュリティの事故が発生したときや、他部署への展開などで利用範囲が広がるときなども、見直しておくと安心です。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
