情報セキュリティの理念と包括的なリスク対策を伝えられても、現場の従業員はどうしたらいいか戸惑ってしまいます。ISMSのリスク管理を確実にするためにも、リスク対応計画が必要です。
今回はリスク対応計画の基本について紹介します。
リスク対応計画とは
リスク対応計画とは、リスクアセスメントで定めたリスク対策を具体化するものです。リスクを特定して大まかな対策を定めただけでは現場に浸透しないため、どう実施するか落とし込む必要があります。
ISMSにおけるリスク対応計画は、ISMSのPDCAサイクルのP(計画)にあたります。リスク対応計画は年に一度、定期的に見直しを行うのが望ましいです。
リスク対応計画の目的
リスク対応計画の目的は情報セキュリティリスクの管理にあります。リスクアセスメントで判明したリスク対策とISMS規格の「管理策」の実施内容を定め、リスクを想定内に収めるためにあります。
ひいては、「情報セキュリティ方針」「情報セキュリティ目的」の達成のためにリスク対応計画があるともいえます。
リスク対応計画の流れ
ISMS認証規格の「ISO27001」では、リスク対応計画の流れを定めています。以下、規格本文の要約です。
6.1.2 情報セキュリティリスクアセスメント
組織は、次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め、適用しなければならない。
- リスク受容基準・リスクアセスメント実施基準を含む情報セキュリティリスク基準の確立・維持
- 複数回情報セキュリティリスクアセスメントを実施した際、そこに一貫性・妥当性があり、比較可能な結果を確実に出すこと
- ISMS適用範囲におけるセキュリティリスク特定のためのアセスメントのプロセス適用及びリスク保持者の特定
- 3で特定したリスクが発生した際の影響・結果及び発生しやすさを評価し、リスクレベルを決定
- リスク分析結果と上記1で確立したリスク基準を比較し、リスクの対応優先度付け
リスク対応計画の策定に先立って、リスクアセスメントを実施します。リスクアセスメントにおいて自社の情報セキュリティリスクを洗い出します。そして各々のリスクにどう対策するのか、ISMSの管理策の実施の有無も含めて検討します。
リスク対策はめったやたらに実施するのではなく、リスクアセスメントで定めた対応優先度の高いリスクから対策に着手していきます。そのため、リスク対応の計画が必要になるのです。また、「リスク対応計画書」の作成も必要になります。
企業によってセキュリティリスクの大きさや対策の優先度がそれぞれ違います。ISMSの運営/推進委員会でしっかり協議し、最終的には経営陣の承認を得る必要があります。
リスク対応の選択肢
ここで、リスク対応計画に必須の検討要素である「リスク対応の選択肢」について確認します。
ISMS認証のファミリー規格であるISO 27000では、リスク対応の7つの選択肢を次のように定めています。
3.72 リスク対応
リスクを修正するプロセス注記1 リスク対応は次の事項が含まれることがある
リスク回避:リスクを生じる活動の削減
リスク取得または増加:特定の機会追求のためのリスクテイク
リスク除去:リスク元の事物の除去
リスク低減:発生率の低減
リスク軽減:引き起こされる結果を軽減すること
リスク移転:他者とのリスク共有(契約およびリスクファイナンシング等)
リスク受容:情報に基づいた選択による保有注記2 好ましくないリスクに対応することを「リスク軽減」「リスク排除」「リスク予防」「リスク低減」と呼ぶことがある
ISMS認証規格「ISO 27000:2018」から 適宜抜粋し、要旨を記載
情報セキュリティ分野に限らず、リスク対応には「リスク回避」「リスク低減」「リスク移転」「リスク保有」の4つの方法があることが知られています。ISO 27000規格のリスク対応の7つの選択肢は、この4つに集約させてリスク対応計画を練ることも可能です。
- リスク回避
- 例:脅威の誘因となる活動(機密情報のメール送付)の削減、事物(脆弱な古いシステム)の除去
- リスク低減
- 例:脆弱性に対処し、脅威発生率の低減と被害の軽減(ウイルス対策ソフトの採用)
- リスク移転
- 例:保険の活用や、情報資産の管理委託等によるリスク移動
- リスク保有
- 例:低頻度もしくは軽微なリスクの許容、リスクと引き換えとなる利便を勘案したリスク受容
リスク対応計画に盛り込むべき内容
リスク管理を確実にするため、リスク対策を行うためのリソースを定めましょう。
リスク対応計画に盛り込むべき内容として以下があげられます。
- 対応完了予定日
- 対応メンバー
- 必要な人員、物品、費用
- 対応完了の判断基準
- 対応完了を判断する責任者
リスク対応計画がまとまれば、あとは対策実行のフェーズに入り、運営管理が大事になってきます。ISMSのPDCAサイクルをうまく回していきましょう。
リスク対応計画の実施前にはリスクアセスメントが必要
※下記内容などを参考に文字数を見ながら詳細に記載
- 実際にリスクアセスメントを実施する場合には、どのような流れになるのかみていく
情報資産の洗い出しと分類
※複数の事例があるが、文字数が許す限り表や例を追加して記載
- 情報資産とは、自社内に存在するすべてのデータ
- 紙の書類からサーバ本体、パソコンのSSDやHDD、USBメモリ、SDカードなどに保存されているデータなどの情報すべて
- まず情報資産を洗い出し、グループ分け。グループは洗い出された情報資産により異なる
- ファイルサーバや書棚①など、データが存在する場所でグループを分ける例もある、人事や営業、調達、システムなど業務でグループを分類する方法もある
- グループ分類が完了したら、利用範囲や管理者、媒体種別、保存先、個人情報の有無などの項目を追加して記載していく
情報資産のリスク値評価
※複数の事例があるが、文字数が許す限り表や例を追加して記載
- ISMSでは、「重要度」、「脅威」、「脆弱性」の3つのポイントを用いて「リスク値」を算出し、リスクアセスメントに対応
- 情報資産ごとにこれらの「重要度」、「脅威」、「脆弱性」を分析する
- 重要度は更に「機密性」、「完全性」、「可用性」と細かく3つに分類される
- リスク値は「重要度」、「脅威」、「脆弱性」にそれぞれレベルを設け、そのレベルを乗算して算出する方法があるので、今回は一例としてその方法を紹介
- 重要度のレベルは、「機密性」、「完全性」、「可用性」の中から最も高いレベルを重要度のレベルとして採用する
- レベルの数と内容は自社で検討しながら設定することになるのだが、例えば次のように設定する
※「ISMS リスクアセスメント 事例」のコラムへ内部リンク[1]
まとめ
リスク対応計画は企業にとって無理のない計画でなくてはなりません。確実に実施できるように、計画を決めていきましょう。