関連するソリューション
サイバーセキュリティ
ID-Ashura/セキュリティサービス
それではどのように情報資産を守るための対策をたてていけばよいのでしょうか。本記事では、主にISMSが定義するリスクアセスメントの観点で、そもそもリスクアセスメントとは何なのか、その実施方法などを解説します。
情報セキュリティにおけるリスクアセスメントとは
情報セキュリティにおけるリスクアセスメントとは、組織や企業が持つ情報資産にどのようなリスクがあるかを特定して、分析し、評価を行うプロセスのことを指します。組織における情報セキュリティリスクの対応策を決めるために実施します。具体的には、発見されたリスクの重大性を分析して評価し、対処すべきかどうかを判断する作業です。発見されたリスクは、リスクアセスメントの後に適切な方法で対処します。
リスクアセスメントの目的
リスクアセスメントは、組織が保持する情報資産を守ることが目的です。たとえば、組織内には取引先や顧客のデータ、社外秘のデータなどのさまざまなデータを保有しています。これらのデータがさらされるリスクがどのようなものかを考え抜き、情報漏えいやデータ喪失などを防ぎます。リスクに侵された場合は、自社組織だけではなく、取引先や顧客を含めたステークホルダー全体に影響を及ぼす可能性があるからです。
リスクがあるならば、それらを低減することが求められます。情報セキュリティのリスクアセスメントは、可能な限りリスクの低い状態で情報資産を保持する状況を作ることが大きな目的だといえます。
リスクアセスメントの3つの観点と項目
ISMS(ISO27001)のリスクアセスメントで分析・評価すべき「リスク」には「CIA」とも呼ばれる3つの観点があります。以下の表でその項目をみていきましょう。| 項目 | 概要 |
|---|---|
| 機密性(Confidentiality) | 許可されていない者にはデータが閲覧できず、また使用できない状態のこと |
| 完全性(Integrity) | データが正確である状態のこと |
| 可用性(Availability) | 必要なデータが必要な時にいつでも利用できる状態のこと |
ISMS(ISO27001)で要求されるリスクアセスメント
情報セキュリティにおけるリスクアセスメントは、主にISMS(ISO27001)で定義されています。そのため、情報セキュリティのリスクアセスメントを考える場合、ISMSの方針を基準にすることが一般的です。ISMS(ISO27001)は、ISMSの国際規格として定義されているものの一つです。企業組織では、ISMS認証取得のために、情報セキュリティにおけるリスクアセスメントを導入して取り組みます。
リスクマネジメントには大まかに、リスク特定、リスク分析、リスク評価、リスク対応の4ステップがあります。このうち、ISMS(ISO27001)で要求されるリスクアセスメントは、リスク特定・リスク分析・リスク評価の3つです。
リスクアセスメントの流れ
情報セキュリティにおけるリスクアセスメントの実施について、「リスク特定」「リスク分析」「リスク評価」の流れをみていきましょう。
リスク特定
自社内や組織が保持している情報資産が、どのようなリスクにさらされているのかを洗い出すプロセスです。情報セキュリティのリスクは、上述した「機密性」「完全性」「可用性」を軸に調査します。機密性を損なうリスクには、以下のような例が挙げられます。
- USBメモリなどの外部記憶媒体にデータをコピーして外部に持ち出してしまう
- 機密データが暗号化されておらず、第三者にデータが読み取られてしまう
- 情報を共有する相手を間違えて、データを送信してしまう
完全性を損なうリスクについては、次のような例が考えられます。
- サイバー攻撃により、データベースやファイルシステムが不正に改ざんされてしまう
- ハードウェアが故障してしまう
- データ入力の段階で、入力ミスが起こってしまう
可用性を損なうリスクについては、以下のようなものが考えられます。
- サイバー攻撃などで、サーバーが停止してデータの閲覧や使用が不可能になる
- ハードディスクなどの記憶媒体の障害により、データへのアクセスが不能になる
- データへアクセスするためのIDやパスワードを失念してしまう
- 自然災害などでハードウェアが被害を受けてデータにアクセスできなくなる
リスク分析
特定されたリスクが組織や業務に「どの程度の影響を及ぼすか」を分析するプロセスです。たとえば、しっかりと管理されているものをレベル1、管理方法を見直したほうが良いものをレベル2、管理がなされていないものをレベル3などに区分けします。
特定されたリスクを分類することで、対処すべきリスクが絞られてくるため、評価がしやすくなります。
リスク評価
分析されたリスクが発生する確率や頻度、影響範囲などの判断材料をそろえるプロセスです。たとえば、発生頻度や確率、影響範囲などを数値化して可視化などを行います。可視化することで、対処すべきリスクの優先順位を判断しやすくなるのです。
優先順位が高いと評価されたリスクは、リスクアセスメントの次のプロセスであるリスク対応を実施します。
リスクアセスメントは情報保護の重要なプロセス
情報セキュリティのリスクアセスメントは、組織の情報資産を守る大切なプロセスです。リスクアセスメントによって、組織の情報資産のリスクを把握でき、優先順位をつけて対処するための準備が行えます。すべてのリスクを見落とさずに洗い出すことは難しいかもしれませんが、その場合は、リスクマネジメントのプロに相談をすることも大切です。
弊社では、情報セキュリティに関する長年の知識とノウハウを生かして、リスクアセスメントを支援する「情報セキュリティ・アセスメント ロードマップ策定支援」を行っています。リスクアセスメントの初動がわからない、具体的にどのように進めるべきか悩んでいるなどありましたら、お気軽にご相談ください。
お問い合わせ>
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
