情報システム部門 2022年9月30日

リスクアセスメントで情報セキュリティリスクの重要度を決める

私は、今学習中の『IPA情報セキュリティマネジメント試験』についてブログを書いています。今回の記事は、リスクマネジメントについて紹介していますが、リスクマネジメントについてはいろいろな工程があり、一度にまとめられないので連載で紹介しています。他の連載記事もぜひチェックしてください。

『情報セキュリティマネジメント』を少しでも身近に感じて頂き、みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。

情報セキュリティリスクアセスメント

リスクアセスメントとは、リスク特定からリスク分析・評価までのプロセスを指します。リスク分析のためには、様々な手法が提案されています。

リスクマネジメントとリスクアセスメントの違い

情報セキュリティリスクマネジメントでは、リスクに関して組織を指揮し、管理します。そこで行われるのがリスクアセスメントや情報セキュリティリスク対応などです。
リスクマネジメントがPDCAサイクルの一連のプロセスであるのに対し、リスクアセスメントはPDCAサイクルのP(Plan)の部分に該当します。図にすると次のようになります。

リスクマネジメントとリスクセスメントの違い

リスクアセスメントはリスクマネジメントと似た言葉ですが、意味が全然違います。
リスクアセスメントとは、リスクマネジメントの一部(Planの部分)で、リスクの分析や評価をして、対策の優先度を考えるところまでの範囲を指します。組織の限られたセキュリティ予算の中で、優先度の高いリスクから対策を実施して、最大限に対策効果を得るために重要な役割を担っています。

リスク基準

リスク基準とリスク受容基準を考えている人

情報セキュリティリスクアセスメントを実施するための基準をリスク基準といいます。リスクの重大性を評価するための目安とする条件で、リスクアセスメントの実施者によって評価結果に大きなブレが出ないように、あらかじめ設定しておく判断指標です。
リスクに対して対策を実施するかどうかを判断する基準は、リスク受容基準です。

リスク基準は、リスク分析の結果によって変化すると思います。
例えば、緊急性の高いリスクが多い場合と、緊急性の高いものから低いものまでいろいろなレベルのリスクがある場合では、リスクを評価する基準は違ってくると思います。
それぞれの組織に合ったリスク基準を決めて評価し、その評価結果をリスク受容基準と照らし合わせて、実際に行うリスク対策を決めていきます。

リスクアセスメントのプロセス

パソコンに向かってリスクアセスメントをして、情報セキュリティリスクの重要度を考えている女性

リスクアセスメントとは、リスク特定、リスク分析、リスク評価を行うプロセス全体のことです。

①リスク特定

リスクを発見して認識し、それを記述します。

②リスク分析

特定したそれぞれのリスクに対し、情報資産に対する脅威と脆弱性を考えます。
リスクの発生確率を求め、実際にリスクが起こったときの影響の大きさを考えます。影響の大きさは、”大”、”中”、”小”などの比較で表すことが多いですが、被害額や復旧にかかる費用などの金額で算出することもります。
リスク分析の手法は、次の2種類に分けられます。

定性的リスク分析・・・リスクの大きさを金額以外で分析する手法

定量的リスク分析・・・リスクの大きさを金額で分析する手法

③リスク評価

分析したリスクに対し、どのように対策を行うかを判断するのがリスク評価です。リスクが受容可能かどうかを決定するために、リスク分析の結果をリスク基準と比較するプロセスとなります。
リスク分析の結果を基に、あらかじめ定められた評価基準などを用いてリスクを評価し、対策の優先度をつけていきます。

例えば「システム障害」という脅威があった時、「障害の原因となっているハード機器の予備がない」「すぐ使えるバックアップシステムがない」という脆弱性があると、「システム障害による中核事業の停止」というリスクが考えられます。
このリスクの発生確率や、組織内での影響範囲、中核事業が停止した時間の損害額などを考えるのが分析です、この分析結果を評価して対策の優先度を決めます。

リスク選好とリスク忌避

リスクアセスメントをした結果、リスク選好するかリスク忌避するか悩んでいる人

リスク選好(risk appetite)とは、リスクのある取引などを行うことです。リスク忌避[きひ](risk aversion「リスク回避」ともやくされます)とは、リスクを避けるためにその取引などを行わないことです。

リスクアセスメントの結果、優先度が低いものはリスク選好をして、優先度が高いものはリスク忌避を行う。そうする事によって、限られ予算や人材の中で効率的なセキュリティ対策が行えると思いました。

リスクレベル

リスクアセスメントをして、リスクの重要度をまとめて説明している女性

リスクレベルとは、リスクの優先度のことです。リスクには、リスクの重大度(重篤度[じゅうとくど])と発生の可能性という二つの度合いがあり、これらの組合せでリスクレベルを見積もります。リスクレベルは、次のようなリスクマトリックスで決定します。

基本的なリスクマトリックスの図

このリスクマトリックスを使ってリスク評価をして、対策の優先度を決めます。優先度が決まるといよいよリスク対策の検討がスタートします。
情報資産の洗い出しから長い道のりですが、しっかりリスクについて検討して、組織の損害につながるリスクを把握できるととても安心です。

リスク分析の手法

リスクアセスメントの中のリスク分析をする女性

リスク分析の代表的な手法は、次のようなものがあります。

①ベースラインアプローチ

既存の標準や基準をベースラインとして組織の対策基準を策定し、チェックしていく方法です。

②非形式的アプローチ

コンルタントや担当者の経験、判断により行います。

③詳細リスク分析

情報資産に対し、資産価値、脅威、脆弱性、セキュリティ要件などを詳細に識別し、リスクを評価していく手法です。

③組合せアプローチ

複数のアプローチを併用する手法です。

リスクアセスメントの2番目に行うリスク分析ですが、いろいろなやり方があります。
リスクの大きさを調べる時は、資産価値、脅威の大きさ、脆弱性の度合いを考慮して分析すると学習しましたが、状況に応じでいろいろな角度から検討できそうです。

※このブログ記事は、「情報セキュリティマネジメント教科書」を引用しています。また、その他にも下記の記事の一部を引用しています。

徹底攻略 情報セキュリティマネジメント教科書
株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著

NEC 情報セキュリティリスクアセスメント 
NECソリューションイノベータ

リスクマネジメントとは、リスクアセスメントとの違いや具体的プロセスついて徹底解説
サイバーセキュリティ.com

リスク管理Navi_リスクマネジメントの情報サイト_リスク基準
ニュートン・コンサルティング株式会社

情報セキュリティリスクをコントロールするセキュリティ対策_ITを取り巻く脅威とリスク
NECネクサソリューションズ

情報セキュリティ対策の極意 潜在リスクの可視化からガバナンスまで総まとめ
株式会社ライトワークス ブログ

情報セキュリティのご担当者さまがリスクマネジメントの検討をしている場合、いろいろな工程を経てリスクに対抗していかなくてはなりません。一人で考えるのではなく、各事業部の担当者も巻き込んで組織全体、また必要があれば外部にも相談して取り組んでいく必要があると思います。

「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。

弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

記事の著者:

Web制作ならアズシエルにご相談ください。

Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!

サイトの制作も運用も月額定額料金でプロにお任せできるサービスのバナー

この記事をSNSでシェアする!