リスクアセスメントの手法とメリット・デメリット

この記事は約4分で読めます。

ISMSの取り組みにおいて行うリスクアセスメントですが、一口にリスクアセスメントといっても実は様々な手法が存在しています。

今回はそんなリスクアセスメントの主な手法を4つ紹介したいと思います。

各手法の概要

ベースラインアプローチ

この手法は、既存の基準などをもとに自組織の現状の対策と追加対策すべきものを明確にしていく方法です。

多くの場合は、規格の管理策を基に順番に確認していくという方式で行うことが多いですが、規格に限らず、自組織が関連する業界のガイドラインなどを参照していくなどの方式も考えられます。

メリットとしては、確認していくための基準が存在しているため、比較的簡単に実施することができます。また、管理策を基に行った場合、すべての管理策についてもれなく検討することができます。

デメリットとしては、選択する基準(ガイドラインなど)によって、求められる対策レベルが高かったり低かったりと自社に合った基準を選ぶことの難しさが挙げられます。また、適用している基準の改訂などもしっかりと追いかけておく必要があるでしょう。

非形式的アプローチ

この手法は、コンサルタントや組織の担当者が、自身の経験・判断に則ってリスクアセスメントを実施していく方法です。

メリットとしては、リスクアセスメント実施者の経験に拠るため、短期間に一気に進めることが可能であり、また、業務内容の変更やコロナ禍によるリモートワークなどの社会環境の動向に合わせたリスクの変化にも適宜対応することが可能です。

デメリットとしては、リスクアセスメント実施者の経験値などによって、判断が属人的になってしまう可能性や、スキルに差が出てしまう可能性があります。

詳細リスク分析

この手法は、各情報資産に対して、「資産価値」「脅威」「脆弱性」「セキュリティ要件」を識別して、リスクを詳細に評価していく方法です。

メリットとしては、一つ一つの情報資産に対して厳密なリスクアセスメントを実施することが可能です。
また、リスクアセスメントを行う対象が決まっているということから、洗い出しのレベルにばらつきが出づらいということも挙げられるでしょう。

デメリットとしては、すべての情報資産に対して行っていくことになるため、多大な作業工数や費用の発生が考えられます。また、情報資産を対象に行った場合、その資産を扱った業務上発生しうるリスクを見逃したり、今回のコロナ禍によるリモートワークのようなイレギュラーな対応が発生した場合のリスクを追いかけることが難しいです。

組み合わせアプローチ

この手法は、様々存在するリスクアセスメント手法の中から複数を併用して実施する方法です。一般的に多い方法としては、ベースラインアプローチと詳細リスク分析の組み合わせです。

メリットとしては、各手法のメリットを享受できます。例えば、ベースラインアプローチと詳細リスク分析を組み合わせた場合、重要な情報資産に対してのみ、必要な管理策などの基準を照らし合わせていくといった対応を取ることができます。

デメリットとしては、自組織でどの手法を組み合わせることが最も有効なリスクアセスメントにつながるのか判断することが難しいです。また、組み合わせ方によっては漏れが発生することも考えられます。例えば、ベースラインアプローチと詳細リスク分析を組み合わせた場合、重要な情報資産の洗い出し自体に漏れがあったときに、その部分に該当するリスクが丸ごと漏れてしまうこともあり得ます。

まとめ

それぞれの概要とメリットデメリットをまとめると以下のような形になります。

手法 手法概要 メリット デメリット
ベースライン
アプローチ
既存の基準などから
現状を比較し、検討
していく
・比較的簡単漏れが発生しづらい ・ちょうどいいレベルの基準を
選ぶのが難しい
・基準の改訂状況などを把握
しておく必要がある
非形式的
アプローチ
コンサルタントや担
当者の経験・判断
から評価する
・短期間に実施可能状況に合わせ
たリスクが洗い出せる
・判断が属人的になるレベル
にばらつきが出る
詳細リスク
分析
各情報資産ごとにリ
スクを評価していく
・厳密なリスク評価が可能
評価にばらつきが少なくなる
・多大な作業工数や費用がかかる
・イレギュラーな状況のリスクが
漏れる
組み合わせ
アプローチ
複数の手法を併用
する
・各手法のメリットを享受できる ・自組織に合った組み合わせを
考えるのが難しい

これらの手法はどの方法を使うことが正解というものではありません。それぞれの組織にとってどのような方法が行いやすいのか、どのようなリスクを洗い出したいのかといった点から良いものを利用していただければと思います。

また、弊社のコンサルティングの取り組みにおいて、リスクアセスメントの実施やご支援なども行っておりますので、ご興味をお持ちいただけましたら、お気軽にお問い合わせください。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました