組織の情報セキュリティ対策に欠かせないものとして、リスク管理が挙げられます。
自組織にはどんなセキュリティリスクがあり、それらにどんな基準でどんな対応をするのかを明確にする必要があります。
そこで重要になるのがリスク対応計画です。今回はリスク対応計画の基本について紹介します。
また、2022年にISMS規格は改訂されました。
変更内容と取るべき対応がわかる資料を無料で配布しています。取得済みの企業もこれから取得の企業もぜひご一読ください。
リスク管理についておさらい
リスク管理及びリスクマネジメントとは、組織に発生し得るリスクを事前に想定し、それへの対策を計画・実行することです。
ここでいう対策には、リスクがそもそも発生しないようにする対策と、万一リスクが発生してしまった際の被害を最小限にする対策の両方が含まれます。
存在するリスクに対し、それがどれだけ危険でどんな影響があるのかを評価し、取るべき対策、発生時対応とその準備を計画・実行します。
また、組織におけるリスクすべてに完全に対策することは、リソースの面でもコストの面でも現実的ではないため、対応に優先度をつけることも必要です。
リスク管理をどう実施するか
リスク管理の実施方法としては、大きく分けて次の5ステップあります。
- リスクの洗い出し
- リスク評価
- リスク対応計画の立案
- リスク対応計画の実施
- レビュー・改善
1. リスクの洗い出し
まずは、リスクを洗い出します。
自社にどんなリスクが存在しているのかが明確になっていないと、何に対策すればいいのかが曖昧になり、その後のリスク対応もおぼつかず、中途半端なリスク管理になってしまいます。
リスクをしっかり洗い出すためには、
- 過去に発生したインシデントを参照する
- 業務担当者の協力を仰ぐ
といった対応が必須です。
過去に発生したインシデントは、それだけ自組織にとって発生するリスクが高いインシデントということで、必ず再発防止対策をしなければなりません。
また、発生しうるリスクは、どれだけセキュリティ担当者がイメージを膨らませても限界がありますので、実際に業務にあたる担当者も巻き込んで、どんなリスクが存在しているのかを洗い出しましょう。業務担当者の協力が得られれば、より実情に即したリスク対応計画の立案・実施も可能になるため、この時点で巻き込んでおけば後々スムーズです。
発生したインシデントの管理には、優先度付けから再発防止策まで網羅したインシデント管理台帳を無料で配布していますので、是非ダウンロードしてみてください。
2. リスク評価(リスクアセスメント)
洗い出したリスクに対して、リスクの優先順位付けをしましょう。
組織におけるリスクは挙げ始めるとキリがありません。限られたリソースの中で、無限に存在するリスクのすべてに対応することは不可能と言っていいでしょうから、優先度の高いものから対応するというのが基本です。
ここでの優先順位は、
- 発生した際の被害が大きいもの
- 発生する頻度・可能性
の二軸に基づいて決定します。
極めて危険なリスクでも自組織で発生しないものに対応する必要はありませんし、頻繁に発生するリスクであってもほとんど被害のないものに厳重な対応をするのはコスパが悪いです。
3. リスク対応計画の立案
評価したリスクの中で、優先順位の高いものから対応計画を立てます。
後述しますが、リスクの対応には、リスクを回避する、低減する、放置するなど様々な種類があります。
徹底的に潰すだけがリスク対応ではありません。
自組織にとって合理的に、従業員の業務負荷を最小限に、なおかつ、自組織の情報資産を適切に守れるように、リスク毎に最適な対応を計画しましょう。
4. リスク対応計画の実施
立案したリスク対応計画を実行に移します。これも、優先順位の高いものを優先的に実施します。
顧客や取引先からの信頼に関わることでもありますので、リスク対応は最善を尽くさなければなりませんが、始めから完璧を目指す必要はありません。
業務担当者や社内全体に協力してもらい、リスク対応計画を実行してみて、
- セキュリティ対策としての完全性・機密性・可用性が担保されているか
- 従業員の業務負荷は過剰ではないか
- その対応を継続的に実施することは現実的か
- 本当に必要な対応か、効率化する手段はないか
といったことを確認しましょう。
対応のどこをチェックして、何が満たされていれば十分な対応なのか、何をもって要改善とするのかをあらかじめチェックリストにしておくとスムーズです。
5. レビュー・改善
実施したリスク対応計画を評価・改善します。
先述の内容ももちろんですが、何より、リスク対応計画実施後の残留リスクが想定の範囲内であるかを見ましょう。
残留リスクが想定の範囲内であれば、そのリスク対応計画は適正であると判断できますし、残留リスクが想定の範囲を超えてしまっている場合は、より厳重な対応計画を練り直さなければなりません。
また、逆に、残留リスクが想定をはるかに下回るようであれば、リスク対応計画を少し緩やかにしてみてもいいかもしれません。厳しすぎるセキュリティ対策は、従業員の反発につながります。
その後はPDCAサイクルを回して、最善のリスク管理にしていきましょう。
リスク管理に必須なリスク対応計画とは
リスク対応計画とは、洗い出して評価したリスクへの対策・対応を計画したものです。
リスクを特定し、大まかな対策を示すだけでは、従業員が遵守することが難しく、また、属人化もしやすいため、明確な基準で具体的な対応を定めた対応計画に落とし込む必要があります。
リスク対応計画は、ISMSにおけるPDCAサイクルではP(計画)に該当します。
そのため、頻度としては年に一度程度定期的な見直しをすることが望ましいです。
リスク対応計画の目的
リスク対応計画の最終的な目的は、リスクをしっかり管理することにあります。洗い出し、評価をしたリスクへの対策を定め、残留リスクを想定内に収めることがゴールになります。
ひいては、「情報セキュリティ方針」「情報セキュリティ目的」の達成のためにリスク対応計画があるともいえます。
リスク対応計画の流れ
ISMS認証規格の「ISO27001」では、リスク対応計画の流れを定めています。
リスク需要基準・リスクアセスメント実施基準を含むリスク基準を確立・維持するとともに、情報セキュリティリスクアセスメントが一貫性・妥当性を持ち、比較可能な結果を生むことを確実にしなければなりません。
それに伴い、下記の手順を踏む必要があります。
- 下記の基準を決める
- a. リスク対策・対応対象になるかの基準
b. リスクを受容する基準 - リスクアセスメントが一貫性・妥当性を持ち、客観的な結果を出せることを確実にする
- リスクを特定する
- a. リスクアセスメントのプロセスにあてはめる
b. リスクの責任者を特定する - 特定したリスクを分析する
- a. 特定されたリスクの発生時の被害の大きさ
b. 特定されたリスクの発生可能性 - 特定・分析したリスクを評価する
- a. 上記1で決めた基準と特定したリスクを照合する
b. その結果をもとに、特定したリスク同士の優先順位付けをする
上記はISO27001を参考にかんたんに記載しています。厳密には規格本文にあたる、ないしは専門家に相談するようにしてください。
対応しなければならないセキュリティリスクや、その大きさ、優先順位は組織によってさまざまです。リスク対応計画を関係者でしっかり協議するとともに、なるべく経営者層の理解・承認を得ることが望ましいです。
リスク対応の選択肢
ここで、リスク対応計画に必須の検討要素である「リスク対応の選択肢」について確認します。
ISMS認証のファミリー規格であるISO 27000では、リスク対応の7つの選択肢を次のように定めています。
- リスクの回避
- リスクを避けるために、業務内容を改善または取りやめること
- リスクの取得または増加
- リスクテイクして事業の機会を優先させること
- リスクの除去
- リスクにつながる原因を排除すること
- リスクの低減
- リスクの発生確率を減らすこと
- リスクの軽減
- リスク発生時の被害を減らすこと
- リスクの移転
- リスクの影響を社外に分散させること。サイバー保険などが該当
- リスクの受容
- リスクの影響が小さいものとして、対応しないこと
また、参考までに、情報セキュリティ分野に限らず、一般的に、リスク対応には「リスク回避」「リスク低減」「リスク移転」「リスク保有」の4つの方法があることが知られています。
- リスク回避
- インシデント発生時の被害が大きいため、発生原因を無くすという対応。
例:脅威の誘因となる活動(機密情報のメール送付)の削減、事物(脆弱な古いシステム)の除去 - リスク低減
- インシデントの発生する可能性・頻度を低減する、あるいは、発生時の被害を小さくするという対応。
例:脆弱性に対処し、脅威発生率の低減と被害の軽減(ウイルス対策ソフトの採用) - リスク移転
- リスクを組織外に移転する対応。組織内のリスクがゼロになるわけではなく、責任は残ることに注意。
例:保険の活用や、情報資産の管理委託等によるリスク移動 - リスク保有
- リスクの発生する可能性や被害が小さいため、そのままにしておくという対応。
例:低頻度もしくは軽微なリスクの許容、リスクと引き換えとなる利便を勘案したリスク受容
リスク対応計画に盛り込むべき内容
リスク管理を確実にするため、リスク対策を行うためのリソースを定めましょう。
リスク対応計画に盛り込むべき内容として以下があげられます。
- 対応完了予定日
- 対応メンバー
- 必要な人員、物品、費用
- 対応完了の判断基準
- 対応完了を判断する責任者
リスク対応をしっかりこなすために、リスク対応計画には取り組みの詳細をなるべく具体的に盛り込みましょう。
また、計画が途中で変更される場合もあると思いますので、実際の取り組みを記録することも望ましいです。
ここでご紹介した内容はあくまで一般的な理想であり、必ずしも始めから完全なリスク対応計画を立てる必要はありません。
PDCAサイクルを回して、よりよいリスク対応を目指していきましょう。
リスク対応計画の実施前にはリスクアセスメントが必要
先にも少しご紹介しましたが、リスクの洗い出しと評価、すなわちリスクアセスメントは下記の内容を含みます。
情報資産の洗い出しと分類
情報資産とは、紙の書類、サーバ本体、PCのSSDやHDD、USBメモリ等に保存されているデータなど、自社内に存在しているすべてのデータを指します。
これらを洗い出し、グループ分けしましょう。
グループ分けの仕方については、サーバや書棚など、データが存在する場所による分け方もありますし、人事、営業、マーケ、といった業務担当部署ごとの分け方もあります。この辺は、組織に適した分け方を採用すれば問題ありません。
グループ分けが完了したら、利用範囲や管理者、媒体種別、保存先、個人情報の有無などを追記していきます。
情報資産のリスク値評価
ISMSでは、「重要度」「脅威」「脆弱性」の3つのポイントでリスク値を算出し、リスクアセスメントをします。
情報資産ごとにこの3つを点数化し、対応の優先順位付けの基準とします。
「重要度」は、「機密性」「完全性」「可用性」などを総合的に判断して点数化しましょう。
まとめ
リスク管理およびリスク対応計画について見てきました。
組織の情報セキュリティ対策に欠かせないリスク管理ですが、実際に実施するとなるとなかなかやることも多く、大変かもしれません。
とは言え、しっかり実施すればそれだけ企業を守ることにもつながりますし、顧客や取引先からの信用にもつながります。
本記事を参考に、よりよいリスク管理を実施していただければ幸いです。
