HOME> すべての記事> サーバーについてのコラム>

情報セキュリティマネジメントシステム(ISMS)におけるリスクアセスメント手法を徹底解説

情報セキュリティマネジメントシステム(ISMS)におけるリスクアセスメント手法を徹底解説

  • このエントリーをはてなブックマークに追加

2017年3月4日の記事では、情報セキュリティの基礎知識として、ISMSに基づき「機密性」と「完全性」、「可用性」を維持するために、PDCAサイクルに基いてマネジメントを行うことをお伝えしました。

今回は、PDCAサイクルを動かして情報セキュリティ活動を継続していくため、情報セキュリティ対策の最初の段階である「P」のプロセスにおいて、リスクを特定し、特定したリスクに対して分析を行い、分析の結果からリスク度合いに応じて評価を行う「リスクアセスメント」手法を解説します。

情報セキュリティポリシを策定する

はじめに、情報セキュリティ対策を行うにあたり、何に対してどの様に行うのか目的をはっきりとさせておく必要があります。

ここでは、機密性と完全性、可用性を維持するために、組織における方針や行動指針「情報セキュリティポリシ」を策定します。策定をするにあたり、情報セキュリティ対策を行う範囲や守るべき情報資産を明確にします。

情報資産を洗い出し「情報資産台帳」に記入する

リスクマネジメントを行うには、どの様な情報資産があるのかを洗い出す必要があります。ここでいう「情報資産」とは、我々が普段使用しているパソコンやハードディスクなどの「物理的資産」に加え、業務に必要なソフトウェアや開発ツールなどの「ソフトウェア資産」、それらを一定の経験や技能に基いて使用する「人的資産」、データベースやファイル、文章データなどの「直接的情報資産」などがあります。

その他にも、組織のイメージや評価などの「無形資産」や電源や空調などの「サービス資産」なども、直接情報への関与は少ないですが、何かしら関わりがある資産も「情報資産」に含めます。

これらを全てもれなく洗い出しを行い、洗い出した情報資産はグループごとにまとめ、それを「情報資産台帳」にまとめます。

起こりうるリスクの種類を明確にする

情報セキュリティ対策を行う範囲や守るべき情報資産が明確にした後は、これから発生しうる「リスク」を洗い出す必要があります。ここで言う「リスク」とは、まだ起こっていない事象でこれから起こる可能性がある事象で、既におきたい事象は「課題」になります。

リスクの種類としては、以下の様なものがあります。

財産損失

火災や地震、盗難などの財産を失うリスクのことを「財産損失」といいます。

収入減少

信用やブランドを失ったことで収入減少につながるリスクを「収入減少」といいます。

責任損失

損害賠償など賠償責任を負うリスクを「責任損失」といいます。

人的損失

従業員が病気かかったり、労働災害にあうリスクを「人的損失」といいます。

モラルハザード

保険に加入していなかったことにより伴うリスクを「モラルハザード」といいます。

サプライチェーンリスク

外部委託先の事故や問題などの影響で供給が停止するリスクを「サプライチェーンリスク」といいます。

その他にも、FacebookやTwitterなどで情報発信をする際に起こりうるリスクや外部サービスを使用したことで起こりうるリスクなど、様々なリスクが存在します。

リスクを特定しリスク分析をを実施

情報セキュリティ対策を行う範囲や情報資産に対してリスクを特定し分析を実施する「リスクアセスメント」を行います。「リスクアセスメント」とは、リスクの特定から分析、評価までのプロセス全体のことを言います。

リスクアセスメントを行うには、はじめにリスクを特定する必要があります。例えば、リスクを発生させる原因となる「リスク源」やリスクを所有している「リスク所有者」を特定する他、過去に発生した事例などに基づいてリスクを認識します。

リスク分析では特定したリスクに対してリスクを分析します。リスクの影響度に応じてリスクレベルを付与する「定性的リスク分析」、リスクが発生した祭の被害額や復旧費用などに基いて分析を行う「定量的リスク分析」があります。

リスク分析の手法は以下のようなものが存在します。

ベースラインアプローチ

既存の標準や基準をベースに対策基準を策定しチェックしていく手法です。

非形式的アプローチ

コンサルタントの経験や知識などを元に判断し行う手法です。

詳細リスク分析

対象となる情報資産に対し、資産の価値や脅威、脆弱性、セキュリティ要件などを識別してリスクを評価する手法です。

組合せアプローチ

上記に上げたアプローチを複数組合せてリスク分析を行う手法です。

リスク評価を行う

分析したリスクに対して、そのリスクが受容できるのかを判断するために分析の結果に基いて、リスク対策を行う際の優先順位をつけます。


リスクレベルの例(筆者作成)

優先順位をつけるには、上記のリスクマトリックスも基いて決定されます。リスク分析を行った結果、そのリスクが発生する可能性が高いのか、少ないのか、また、リスクが発生した場合においいて重大な事なのか、軽度なのか「リスクレベル」を付与します。

  • このエントリーをはてなブックマークに追加