| リスクアセスメントとは、リスク分析からリスク評価までのすべてのプロセスのことを言いますが、ISMSの導入・確立に際して、管理すべき重要な情報資産を明確にするため、このリスクアセスメントを実施する必要があります。リスクアセスメントの取り組みは、ISMS・事業上・法令上の情報セキュリティーの要求事項や契約上のセキュリティー義務の要求事項を満たし、リスク受容基準(後述)を設定した上で、リスクの受容レベルを特定する方法で行います。また、リスクアセスメントには様々な方法がありますが、リスクアセスメントの結果が比較可能で、再現可能(何度も、誰によってもリスクアセスメントが実施可能)な結果を生み出せる方法を採用する必要があります。 |
| |
| 1.情報資産の抽出方法 |
|
事業者が保有する情報資産の全体構成を把握することは、リスクアセスメントを進めていく上での不可欠な作業になります。経営資源である情報資産を漏れなく抽出するため、顧客情報・技術情報・人事情報・経理情報等を体系的に洗い出していきます。情報資産の抽出は、以下の方法を用いて行います。
@組織の仕事を大機能・中機能・小機能に機能分類した上で、小機能ごとに取り扱う情報
資産を抽出し、その結果を「情報資産集計表」にまとめる方法
A組織の各業務のフローを作成した上で、それぞれの業務プロセスにしたがい、インプット
される情報資産とアウトプットされる情報資産を把握し、抽出する方法
B「JIS X 5080:2002」の情報資産の分類にしたがって、情報資産を抽出する方法 |
| |
| 2.情報資産の特定 |
|
事業者が保有するすべての情報資産を抽出した後、ISMSによって優先的に管理・保護の対象にする重要な情報資産を特定します。情報資産の重要度は、事業者によって異なるため、それぞれの事業者の特性を考慮した上で、管理・保護の優先度を決定します。 |
| |
| 3.情報資産ランクの決定 |
|
情報資産の特定と合わせて、情報資産の重要度のランクを決定します。情報資産の重要度は、当該情報資産の漏洩・滅失・毀損等が発生した場合(機密性・完全性・可用性が損なわれた場合)の事業活動上の損害の大きさ・結果の重大さを基準として評価します。情報資産の重要度の評価としては、以下のような基準例があります。
例)
レベル4:情報資産の漏洩、滅失・棄損が発生した場合、顧客、取引先および社会的信用
が失墜し、経営に甚大な損失または事業の継続に深刻な影響を及ぼす。
レベル3:情報資産の漏洩、滅失・棄損が発生した場合、顧客、取引先等から多数の苦情
が寄せられ、経営に多大な損失を及ぼす。
レベル2:情報資産の漏洩、滅失・棄損が発生した場合、顧客、取引先等から少数の苦情
が寄せられ、経営に軽微な損失を及ぼす。
レベル1:情報資産の漏洩、滅失・棄損が発生した場合、顧客、取引先等から苦情が寄せ
られることはなく、経営にも損失を生じない。 |
| |
| 4.機密性・完全性・可用性の評価 |
|
ISMSが準拠する「JIS Q 27001:2006」では、「情報セキュリティー」の定義が、「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい」と規定されています。ISMSにおいて情報セキュリティーを維持する上では、情報の機密性・完全性・可用性の基準を定め、それぞれを評価することが必須条件となります。
@機密性
「JIS Q 27001:2006」では、「機密性」の定義が、「認可されていない個人、エンティテ
ィ又はプロセスに対して、情報を使用不可又は非公開にする特性」と規定されています。
情報の機密性とは、情報資産が漏洩した場合の影響度として捉えることができます。
機密性の評価としては、以下のような基準例があります。
例)
レベル4:極秘:代表者・役員等、組織内の一部の者のみが取り扱う情報
レベル3:部門外秘:技術開発・商品開発等、組織内の部門内のみで取り扱う情報
レベル2:社外秘:組織内のみで取り扱う情報
レベル1:関係者外秘:組織内と許可された組織外の関係者のみで取り扱う情報
レベル0:公開:組織の外部に公開されている情報
A完全性
「JIS Q 27001:2006」では、「完全性」の定義が、「資産の正確さ及び完全さを保護する
特性」と規定されています。情報の完全性とは、情報資産が滅失・毀損した場合の影響度
として捉えることができます。
完全性の評価としては、以下のような基準例があります。
例)
レベル4:最重要:滅失・棄損した場合、事業の継続に支障が生じる情報
レベル3:重要:滅失・棄損した場合、事業活動に相当な支障が生じる情報
レベル2:注意:滅失・棄損した場合、事業活動に軽微な支障が生じる情報
レベル1:配慮:滅失・棄損した場合、事業活動にほとんど支障が生じるない情報
B可用性
「JIS Q 27001:2006」では、「可用性」の定義が、「許可されたエンティティが要求した
ときに、アクセスが可能である特性」と規定されています。情報の可用性とは、情報資産
が利用できない場合の影響度として捉えることができます。
可用性の評価としては、以下のような基準例があります。
例)
レベル4:最重要:一時でも利用が不可能となった場合、事業活動に重大な損害が生じる
情報
レベル3:重要:数時間に渡り利用が不可能となった場合、事業活動に重大な損害が生じ
る情報
レベル2:注意:数時間に渡り利用が不可能となった場合、事業活動に軽微な損害が生じ
る情報
レベル1:配慮:相当時間に渡り利用が不可能となった場合でも、事業活動に損害が生じ
ない情報
情報の「可用性」が情報資産の活用に重点を置くのに対し、情報の「機密性」・「完全性」は情報資産の保護に重点を置いています。情報セキュリティーは、情報の利便性とその保護の相反する要素のバランスを図り、それら2つの要素を両立させることがポイントになります。 |
| |
| 5.脅威・脆弱性の特定と評価 |
|
特定した情報資産において、それらの情報資産に対する情報セキュリティー事故(漏洩・滅失・棄損等)を発生させる原因となる要素を「脅威」として、その基準を定めます。また、それらの「脅威」に対する防御力の程度を「脆弱性」として、その基準を定め、それぞれを評価します。
@脅威
脅威は、人為的脅威と環境的脅威に大別されます。人為的脅威は、さらに意図的脅威と
偶発的脅威に分類されます。
@)人為的脅威:意図的脅威
外部の者による情報の盗難・破壊
内部の者による情報の持出し・破壊
外部の者による情報処理システムへの不正アクセス
内部の者による情報処理システムへの権限外の不正アクセス
情報処理システムへのウィルス攻撃
情報処理設備の破壊
A)人為的脅威:偶発的脅威
情報の紛失・誤廃棄
情報の誤送信・誤送付
情報の入力・削除等の誤操作
情報処理設備の故障
プログラム・ソフトウェアの誤作動
B)環境的脅威
自然災害(地震・台風・洪水・落雷等)による情報の破壊
自然災害(地震・台風・洪水・落雷等)による情報処理設備の破壊
火災によるによる情報の破壊
火災による情報処理設備の破壊
温度・湿度等の環境設定の不備による情報処理設備の誤作動
脅威の評価としては、以下のような基準例があります。
例)
レベル3:高:発生する可能性が高い
レベル2:中:発生する可能性は中程度
レベル1:低:発生する可能性は低い
A脆弱性
脆弱性は、情報の盗難対策・情報システムへのウィルス攻撃に対するプロテクトソフトウ
ェアの導入・情報処理設備の破壊に対する代替設備の設置等、脅威に対する防御力の高低
として定義することができます。
脅威の評価としては、以下のような基準例があります。
例)
レベル3:高:管理策が講じられていないため防御力が低い
レベル2:中:管理策は講じられているが、防御力が不十分
レベル1:低:管理策が講じられていて、防御力が高い
情報セキュリティー事故は、脅威の高低と脆弱性の高低との相関関係において、その発生の可能性が上下するため、特定した情報資産についての脅威と脆弱性は一対として評価します。 |
| |
| 6.情報資産のリスク評価 |
|
情報資産ランク(情報資産価値)の決定、機密性・完全性・可用性の評価基準の設定、脅威・脆弱性の評価基準の設定が完了した後、個々の情報資産についてのリスクの算定を行います。リスク算定におけるリスクの大きさは、以下の式で表すことができます。
[リスクの大きさ]=[情報資産の事故の結果の重大性]×[事故の発生の可能性]
個々の情報資産のリスクを数的に評価するため、上記の式を展開し、以下の式を用いてリスクの評価点を算定します。
[リスクの大きさ]=[リスク評価点]
[情報資産の事故の結果の重大性]=[情報資産ランク]=[情報資産の価値]
[事故の発生の可能性]=[脅威]×[脆弱性]
[リスク評価点]=[情報資産の価値]×[脅威]×[脆弱性]
リスクは情報資産の価値・脅威・脆弱性の高低に正比例するため、情報資産の価値・脅威・脆弱性が高いほど、リスク(リスク評価点)も高まると言えます。 |
| |
| 7.リスクの受容可能性の評価 |
|
リスクアセスメントの目的は、算出した情報資産のリスク評価点(リスク値)に基づき、リスク値の高い情報資産から情報セキュリティーの管理対策を講じることによって、より効果的・効率的に管理策を実施することにあります。また、個々の情報資産のリスク値に一定の基準を設定し、情報セキュリティー管理策を実施する情報資産と、リスクを受容(許容)して管理策を実施しない情報資産とを区別・判断します。
リスク値の算出方法には、以下のような算出表が用いられます。
例)
脅 威 1 2 3
脆弱性 1 2 3 1 2 3 1 2 3
資産価値1 1 2 3 2 4 6 3 6 9
資産価値2 2 4 6 4 8 12 6 12 18
資産価値3 3 6 9 6 12 18 9 18 27
資産価値4 4 8 12 8 16 24 12 24 36
リ ス ク 値
リスクの許容範囲の設定例としては、以下のような基準例があります。
例)
脅 威 1 2 3
脆弱性 1 2 3 1 2 3 1 2 3
資産価値1 1 2 3 2 4 6 3 6 9
資産価値2 2 4 6 4 8 12 6 12 18
資産価値3 3 6 9 6 12 18 9 18 27
資産価値4 4 8 12 8 16 24 12 24 36
リ ス ク 値
許 容 で き な い リ ス ク 値 |
| |
| 8.リスク管理方針の決定 |
|
リスク値を算出し、受容できないリスク値を設定した後、受容できないリスク値を有する情報資産に関しては、当該リスクの管理方針を決定します。リスクへの対処は、以下の方法を用いて行います。また、受容できるリスク値の情報資産に関しては、そのリスクを保有します。ただし、リスク保有を決定した情報資産でも、法令(個人情報保護法等)によって管理を義務付けられているものに関しては、必要な管理策を策定・実施しなければなりません。
@リスク保有
リスクの値が受容の範囲内であって、特に対策を講じないとする決定
Aリスク低減
リスクの値が受容できないレベルで、脅威に対する防御策や脆弱性を補強する対策を講
じる決定
リスク低減は、以下の視点から実施します。
@)抑止
監視カメラの設置・守秘義務契約の締結・アクセスログの監視等、脅威に対する抑止
効果としての対策
A)防止
入退室管理・アクセス制御・ウィルス対策等、脆弱性に対する防御力を強化するため
の対策
B)検知
監視カメラの画像・アクセスログのチェック・警報設備の導入等、情報セキュリティ
ー事故を早期に発見するための対策
C)回復
情報資産のバックアップ・代替情報処理設備の準備等、情報セキュリティー事故から
の早期復旧を図るための対策
Bリスク移転
リスク低減策の実施が不可能な場合やリスク低減策を実施しても受容できるレベルにまで
リスク値を低減できない場合の決定
リスク移転は、以下の方法を用いて行います。
@)情報資産管理の外部委託
情報資産の処理・管理・セキュリティ対策を外部の専門機関等に委託することによっ
て、脅威・脆弱性に対する管理策の強化を図ります。
A)保険の活用
損害保険・情報漏洩保険を契約することによって、情報設備が破壊された場合や個人
情報が漏洩した場合の金銭的な損害を補填します。
Cリスク回避
リスク対策の実施が全く不可能な場合や、情報資産のリスク対策に要するの費用が情報
資産を保有することの価値に比べ著しく高額になる場合、当該情報資産の廃棄、当該情報
資産を取り扱う業務を廃止する決定 |
| |
| 9.リスク管理策の策定 |
|
リスクの管理方針に基づき、具体的なリスク管理策を策定し、リスク値の低減を図ります。リスク対応のための管理策は、「JIS Q 27001:2006」の付属書Aの中から選択します。受容できないレベルのリスク値の情報資産が存在することを防ぐため、管理策を策定した情報資産についてのは、再度リスク評価を行い、リスク値が受容範囲内であることを確認します。策定した管理策のリスク低減効果が不十分であれば、別の管理策か追加の管理策を策定し、リスク値が受容範囲内に収まるようにします。また、どのような管理策を実施したとしても、リスクが皆無になることはないため、管理策を実施した後にも存在するリスクを「残存リスク」として認識します。
リスク管理策は、リスク低減効果が明確・確実な技術的・物理的管理措置を優先して策定し、技術的・物理的管理措置の不備を人的・組織的管理措置で補完するように策定します。 |
| |
|
| 前ページへ |
Top Page