ISMSのリスクアセスメントを活用すると、リスク評価を標準化でき、リスクに応じたセキュリティ管理体制の構築に役立てられます。この記事ではサンプル事例をあげ、難しいと捉えられがちなリスクアセスメントをできるだけ平易に解説します。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
ISMSの目的とリスクアセスメント
ISMSのリスクアセスメントとは組織が抱える情報セキュリティリスクの分析と脆弱性の特定、リスクの評価、許容の可否を決定する一連のプロセスを指します。
ISMS(ISO 27001)規格では、ISMSの目的の一つに『リスクを適切に管理しているという信頼を利害関係者に与える』旨を掲げています。そのため、規格の要求事項(認証取得の条件)にリスクアセスメントの実施基準を定めています。
ISMSリスクアセスメントの流れ
ISMSのリスクアセスメントの流れをざっくり説明すると、前段階の「情報資産の洗い出しと分類」、次いでメインの「リスク分析と評価」を実施します。
次節以降で、それぞれ詳しく説明します。
情報資産の洗い出しと分類
まずリスクアセスメントの対象である情報資産の定義をまず確認し、その後に所有情報の洗い出しと分類について説明します。
情報資産の定義
情報資産とは、組織にとって価値のある情報だけでなく「情報を取り扱う仕組み」も含めたものです。用紙、HDDなどの記録媒体、情報処理端末・機器(サーバーやPC、プリンタ、Webカメラなど)のハードウェア、ソフトウェア、人員、ドキュメントまで含まれます。
情報資産の洗い出しと分類
情報資産のリスク評価に先立ち、まずは自組織の持つ情報資産を特定します。
情報資産の洗い出しは各部署の担当者が業務フローに沿って見つけていくと、漏れが少なく作業が効率的になります。洗い出した情報資産は部署ごとに「情報資産管理台帳」にまとめます。
情報資産の分類とは、「格納場所ごと」「業務ごと」など、任意のグループを定めて分類するものです。たとえばデータの格納場所ごとの分類なら「ファイルサーバー」「書棚」など、業務ごとに分類するのであれば「製造」「調達」「人事」「システム」のように分けます。
情報資産を大まかに分類したら、情報の特性を示す細目を追加します。以下に主な細目の例を示します。
- 利用範囲
- 管理者
- 媒体種別
- 保存先
- 個人情報の有無
事例で確認する「情報資産のリスクアセスメント」
情報資産を把握したら、次に各資産ごとにリスクアセスメントを行います。ここでは、サンプル事例をもとにリスクアセスメントの概要を説明します。
リスクアセスメントのプロセスでは、属人的な判断でなく、客観性を重視した数値化の手法を用います。サンプル事例での判断基準は3つで、「重要度」「発生率」「脆弱性」の観点で検討します。最終的に、3つの観点をもとに「リスク値」を算出してリスク評価を行います。
| プロセス | 判断基準 |
|---|---|
| リスクの特定・分析 | 重要度/発生率/脆弱性 |
| リスク評価 | リスク値 |
次節以降でサンプル事例によるリスクアセスメントの流れを見ていきます。
リスクの重要度
サンプル事例に限らず、一般的なリスクアセスメントでは情報セキュリティの3要素「機密性」「完全性」「可用性」を用いてリスクを判断します。
サンプル事例では、個々の情報資産は「重要度」の基準においてどのレベルなのか決定します。ここでいう重要度とは「機密性」「完全性」「可用性」のそれぞれの消失リスクを算出して導くリスク指標です。
最終的には特定の情報資産の「機密性」「完全性」「可用性」の各レベルのうち、数値レベルが最も高いものを「重要度のレベル」として採用します。
APT攻撃対策にはネットワーク侵入を前提とする「多層防御」が定石とされます。
- 例
-
- 機密性:1
- 完全性:2
- 可用性:3
→上記の場合、重要度:3とします。
多層防御は何にでも一律に適用せず、システムの用途や業務の性質、またリスクやリソースを勘案し、何においてどのレイヤーを重点的に対策するか決めます。その決定には次項のリスク評価が必要です。
次に、サンプル事例の重要度のレベルと内容を紹介します。なお、ISMSのリスクアセスメントにおいては、レベルの段階と内容は任意であり、各組織の必要性に応じて自由に設定できます。
機密性
| レベル | クラス | 内容 |
|---|---|---|
| 1 | 公開 | 社外公開可 |
| 2 | 社外秘 | 社内のみ公開可 |
| 3 | 機密 | 関係者のみ公開可 |
完全性
| レベル | クラス | 内容 |
|---|---|---|
| 1 | 影響小 | 改ざんの影響は社内の限定範囲 |
| 2 | 影響中 | 改ざんは社内にのみ影響 |
| 3 | 影響大 | 改ざんは社外にまで影響 |
可用性
| レベル | クラス | 内容 |
|---|---|---|
| 1 | 可用性低 | 1日停止しても問題ない(24時間程度の利用停止は可能) |
| 2 | 可用性中 | 日中に使用できればよい(営業時間外の停止可) |
| 3 | 可用性大 | 常に使用できる必要がある(24時間365日の稼働必須) |
リスクの発生率
サンプル事例としてリスク分析におけるリスク「発生率」を設定しています。ここでは、特定の情報資産のセキュリティリスクがどの程度起こりうるかをレベル化して判定することとします。
| レベル | クラス | 内容 |
|---|---|---|
| 1 | 発生率小 | ~10% |
| 2 | 発生率中 | 10~60% |
| 3 | 発生率大 | 60%以上 |
情報資産の脆弱性
サンプル事例としてリスク分析における「脆弱性」基準も設定し、特定の情報資産の管理レベルを判定することとします。
| レベル | クラス | 内容 |
|---|---|---|
| 1 | 脆弱性低 | 適切な管理下にある |
| 2 | 脆弱性中 | 改善の余地あり |
| 3 | 脆弱性大 | 管理が全くされていない |
リスク値の算出
サンプル事例ではリスクアセスメントの指標である「リスク値」を個々の情報資産ごとに算出し、リスク評価を行うこととします。
ここでは、リスク値を「重要度」「発生率」「脆弱性」の3つのレベルを乗算して決定します。
- リスク値の算出式
- リスク値 = 重要度レベル × 発生率レベル × 脆弱性レベル
このようにして、個々の情報資産のリスクを客観的な数値として可視化していきます。サンプル事例のようにリスク評価のための指標(リスク値)を導くまでに非常に手間がかかりますが、リスクアセスメントの流れをつかんでいただけると幸いです。
リスク評価の具体例
リスクアセスメントの流れをよりイメージしやすいよう、サンプル事例の指標を使った具体例を紹介します。例として、インターネットに接続済みの事務用PCのリスク評価を考えます。
重要度について
- 機密性レベル:3
- PCにはログインパスワードがかかっており、関係者のみの公開になっているため
- 完全性レベル:1
- 改ざんを受けたとしても、影響は社内のうち限定的な範囲にとどまる
- 可用性レベル:1
- 動作が1日停止しても業務に大きく影響しない
- 重要度レベル:3
- 最大値が「機密性レベル:3」のため
発生率について
- 発生率レベル:2
-
- インターネット接続しているPCは常に危険にさらされているため
- ウイルス対策ソフトで保護していても最新の脅威に対応が追いつかず、脆弱性を突かれる可能性
脆弱性について
- 脆弱性レベル:1
-
- PCにはウイルス対策ソフトがインストール済み
- PCはセキュリティワイヤーで自席に固定、事務室の入室もパスワード管理されている
- 自社の規定上、適切な管理がなされていると判断
リスク値算出
- 事務用PCのリスク値:6
- 算出根拠:3(重要度レベル)× 2(発生率レベル)× 1(脆弱性レベル)= 6
リスク評価
当社のリスク値の基準(緊急18以上、要対応12以上、可2以下)から照らし合わせ、当面優先的に対応する必要性が薄いと判断します。
リスク評価を自組織のすべての情報資産に実施、対応の必要性と優先度を設定してリスク管理を行います。
ISMSリスクアセスメントを有効活用できない原因
リスクアセスメントは手間がかかるわりに、うまく活用できていないケースが見られます。リスクアセスメントや、それを受けたリスク見直しの効果が感じられない原因として以下が考えられます。
- 業務プロセスに適した手法がリスクアセスメントの仕組みに取り入れられていない
- 複雑すぎる手法をリスクアセスメントに組み込んでしまう
- リスク評価の基準が曖昧で、人によって評価が大きくブレやすい
つまり、「手法の選択」「適用手法の難易度」「評価基準の設定」に課題があるのです。
実態に合わせたシンプルな仕組みに改善する
情報資産の管理やリスク改善の制度設計で、多くの組織が複雑に考えてしまう傾向があります。なるべくシンプルに考えて、業務フローに沿ったリスクアセスメントに修正・改善していくのが望ましいです。
リスクアセスメントの本質は「脅威の大きさ」「発生の可能性」を考えて「何を対策するべきか」を明確にすることです。脅威の大きさや発生の可能性は管理できませんし、これらを評価する目的は対応の優先順位をつけるためにあります。
さらに言うならば、リスクアセスメントで出せるのは「脅威の大きさ」「発生する可能性」「現在の対策レベル」です。極論するなら、「弱点探し」に終始します。
リスクアセスメントや見直し活動においてはモデル化の仕組みに囚われず、本質的な「リスク対策の検討」「対応優先度の設定」に注力していきましょう。
リスクの評価基準の見直しのコツ
リスク評価の理想は、評価する人が違っても同じ結果が適切に出せることです。評価基準が曖昧だと、結果にブレが生じて正しい評価を出せません。
リスク評価の際には個々の項目を数値で評価していくだけでなく、それを踏まえた具体的な基準を設定して最終的な評価を下すのがいいでしょう。
- 例
-
- 影響の高さ:3点
- 発生率の高さ:1点
- 対策レベルの高さ(脆弱性の低さ):2点
- 「最高点を採用」等の条件設定:3点(最終的なリスク評価)
つまり、個々の項目を数値化しただけでは、最終的な判断を担当者に委ねることになり評価のバラツキの原因になります。最終的な判断基準も機械的に出せるようにすると評価品質が安定します。
まとめ
ISMSのリスクアセスメントは手間ですが、本来はリスク評価をモデル化し効率的なリスク管理が行える仕組みなのです。リスクのモデル化の手法に囚われず、本質を押さえた無理のないリスク評価/改善の仕組みを構築していきましょう。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
