【ジョーシス株式会社主催】3/22(水) 14:00〜「4月からはじめる、情シスがやるべきセキュリティ対策とは ~すぐできる新入社員のセキュリティ教育・訓練から 効率的なSaaS管理方法を徹底解説~」セミナー開催

リスクアセスメントの手法とメリット・デメリット

この記事は約4分で読めます。
2021.01.29

ISMSの取り組みにおいて行うリスクアセスメントですが、一口にリスクアセスメントといっても実は様々な手法が存在しています。

今回はそんなリスクアセスメントの主な手法を4つ紹介したいと思います。

また、ISMSリスクマネジメントの流れやサンプル事例について、「ISMSリスクアセスメント – サンプル事例から改善・見直しまで」で解説しています。併せてお読みください。

ISMSリスクアセスメント - サンプル事例から改善・見直しまで
ISMSのリスクアセスメントを活用し、効率よくリスク管理しましょう。難解なリスクアセスメントですが、参考例を挙げながらお話ししますので、ぜひ貴社でのリスクの評価の参考にしてください。弊社コンサル作成のインシデント管理表もご用意しております。
www.lrm.jp

各手法の概要

ベースラインアプローチ

この手法は、既存の基準などをもとに自組織の現状の対策と追加対策すべきものを明確にしていく方法です。

多くの場合は、規格の管理策を基に順番に確認していくという方式で行うことが多いですが、規格に限らず、自組織が関連する業界のガイドラインなどを参照していくなどの方式も考えられます。

メリットとしては、確認していくための基準が存在しているため、比較的簡単に実施することができます。また、管理策を基に行った場合、すべての管理策についてもれなく検討することができます。

デメリットとしては、選択する基準(ガイドラインなど)によって、求められる対策レベルが高かったり低かったりと自社に合った基準を選ぶことの難しさが挙げられます。また、適用している基準の改訂などもしっかりと追いかけておく必要があるでしょう。

非形式的アプローチ

この手法は、コンサルタントや組織の担当者が、自身の経験・判断に則ってリスクアセスメントを実施していく方法です。

メリットとしては、リスクアセスメント実施者の経験に拠るため、短期間に一気に進めることが可能であり、また、業務内容の変更やコロナ禍によるリモートワークなどの社会環境の動向に合わせたリスクの変化にも適宜対応することが可能です。

デメリットとしては、リスクアセスメント実施者の経験値などによって、判断が属人的になってしまう可能性や、スキルに差が出てしまう可能性があります。

詳細リスク分析

この手法は、各情報資産に対して、「資産価値」「脅威」「脆弱性」「セキュリティ要件」を識別して、リスクを詳細に評価していく方法です。

メリットとしては、一つ一つの情報資産に対して厳密なリスクアセスメントを実施することが可能です。
また、リスクアセスメントを行う対象が決まっているということから、洗い出しのレベルにばらつきが出づらいということも挙げられるでしょう。

デメリットとしては、すべての情報資産に対して行っていくことになるため、多大な作業工数や費用の発生が考えられます。また、情報資産を対象に行った場合、その資産を扱った業務上発生しうるリスクを見逃したり、今回のコロナ禍によるリモートワークのようなイレギュラーな対応が発生した場合のリスクを追いかけることが難しいです。

組み合わせアプローチ

この手法は、様々存在するリスクアセスメント手法の中から複数を併用して実施する方法です。一般的に多い方法としては、ベースラインアプローチと詳細リスク分析の組み合わせです。

メリットとしては、各手法のメリットを享受できます。例えば、ベースラインアプローチと詳細リスク分析を組み合わせた場合、重要な情報資産に対してのみ、必要な管理策などの基準を照らし合わせていくといった対応を取ることができます。

デメリットとしては、自組織でどの手法を組み合わせることが最も有効なリスクアセスメントにつながるのか判断することが難しいです。また、組み合わせ方によっては漏れが発生することも考えられます。例えば、ベースラインアプローチと詳細リスク分析を組み合わせた場合、重要な情報資産の洗い出し自体に漏れがあったときに、その部分に該当するリスクが丸ごと漏れてしまうこともあり得ます。

まとめ

それぞれの概要とメリットデメリットをまとめると以下のような形になります。

手法 手法概要 メリット デメリット
ベースライン
アプローチ		 既存の基準などから
現状を比較し、検討
していく		 ・比較的簡単漏れが発生しづらい ・ちょうどいいレベルの基準を
選ぶのが難しい
・基準の改訂状況などを把握
しておく必要がある
非形式的
アプローチ		 コンサルタントや担
当者の経験・判断
から評価する		 ・短期間に実施可能状況に合わせ
たリスクが洗い出せる		 ・判断が属人的になるレベル
にばらつきが出る
詳細リスク
分析		 各情報資産ごとにリ
スクを評価していく		 ・厳密なリスク評価が可能
評価にばらつきが少なくなる		 ・多大な作業工数や費用がかかる
・イレギュラーな状況のリスクが
漏れる
組み合わせ
アプローチ		 複数の手法を併用
する		 ・各手法のメリットを享受できる ・自組織に合った組み合わせを
考えるのが難しい

これらの手法はどの方法を使うことが正解というものではありません。それぞれの組織にとってどのような方法が行いやすいのか、どのようなリスクを洗い出したいのかといった点から良いものを利用していただければと思います。

また、弊社のコンサルティングの取り組みにおいて、リスクアセスメントの実施やご支援なども行っておりますので、ご興味をお持ちいただけましたら、お気軽にお問い合わせください。

ISMS規格をわかりやすく解読する【6.計画(前編)】 | ISMS情報セキュリティブログ
「ISMS規格をわかりやすく解読する」シリーズの4回目は、「6.計画」の前編について見ていきたいと思います。
www.lrm.jp
ISMS/ISO27001認証取得コンサルティング|取得100%保証・訪問無制限
LRM株式会社のISMS/ISO27001取得コンサルティングサービスです。多様なニーズに合わせたISMSコンサル料金体系。取得される企業様の状況やスケジュールに合わせたご提案。現地審査に向けての模擬審査・審査後の指摘事項の対応までサポートしますので審査も安心です!まずは無料相談TEL:03-5719-6234
www.lrm.jp
ISMS / ISO27001認証取得を目指す
コンサルティング実績2,300社以上
ISMS/ISO27001認証取得をチームでサポート
LRM株式会社では、訪問回数無制限で企業様の規模や状況・ご要望に応じたコンサルティングプランをご提案します。

認証取得100%!まずはサービスを確認する

タイトルとURLをコピーしました