経営者の方情報セキュリティマネジメントとPDCAサイクル

本文を印刷する

情報セキュリティマネジメントとPDCAサイクル

リスクアセスメント

対策基準では、基本方針の内容を受けて具体的なルール、いわゆる「管理策」を記述します。「管理策」は、情報セキュリティ上のリスクを減らすための対応策のことで、非常に多くのものがありますが、これらは「技術的対策」と「管理的対策(人的対策・組織的対策・物理的(環境的)対策を含む)」に大別されます。
対策基準を策定する際には、多くの管理策の中から、(1)何を自社にとって最適な管理策として選ぶか、そしてそれを(2)どのようにわかりやすく記載するか、というのが大きなポイントとなります。それぞれの組織が抱えるリスクは、その組織の状況によって異なるため、実効性のある対策を選択するためには、リスクアセスメントを行う必要があります。

リスクアセスメントとは、守るべき対象である情報資産で発生する可能性のある脅威と、脅威の発生確率や発生した場合の影響度等を評価する方法のことです。

守るべき情報資産:何から何を守る?
守るべき情報資産:何から何を守る?

「リスクマネジメント-用語-規格において使用するための指針(JIS TR Q 0008:2003)」の定義によれば、リスクアセスメントとは、リスク分析からリスク評価までの全てのプロセスであり、リスク因子とは脅威と脆弱性を指します。

脅威: システム又は組織に危害を与える事故の潜在的原因
脆弱性: 脅威によって影響を受ける内在する弱さ
リスク: ある脅威が脆弱性を利用して損害を与える可能性

リスク分析の方法については、現在様々な手法が提案されています。リスクは、業界や業務によって大きく異なるため、デファクトスタンダード的なリスク分析手法はなく、適宜、自組織にあった方法でリスク分析を行っているようです。

ここでは、ISMSにおいて参照されることの多い、「IT セキュリティマネジメントのガイドライン-第3部:ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)」より、4つのリスク分析方法を紹介します。それぞれに長所と短所があります。

(1)ベースラインアプローチ

既存の標準や基準をもとにベースライン(自組織の対策基準)を策定し、チェックしていく方法。簡単にできる方法であるが、選択する標準や基準によっては求める対策のレベルが高すぎたり、低すぎたりする場合がある

(2)非形式的アプローチ

コンサルタント又は組織や担当者の経験、判断によりリスクアセスメントを行う。
短時間に実施することが可能であるが、属人的な判断に偏る恐れがある。

(3)詳細リスク分析

詳細なリスクアセスメントを実施。情報資産に対し「資産価値」「脅威」「脆弱性」「セキュリティ要件」を識別し、リスクを評価していく。
厳密なリスク評価が行えるものの多大な工数や費用がかかる

(4)組合せアプローチ

複数のアプローチの併用。よく用いられるのは、(1)ベースラインアプローチと(3)詳細リスク分析の組合せ。ベースラインアプローチと詳細リスク分析の両方のメリットが享受できる。

すべての情報資産に詳細なリスク分析を行うのは時間と費用がかかりすぎて現実的ではありません。その組織を守るためのベースライン(基本)となる管理策の組み合わせを決め、その上でよりリスクの高いシステムを保護するために、詳細リスク分析を追加することにより、組織がリスク分析に用いる費用を削減でき、より精度の高いリスク分析を行うことが可能になります。

リスク評価は「リスクの重大さを決定するために、算定されたリスクを、与えられたリスク評価基準と比較するプロセス」と定義されていますが、「与えられたリスク評価基準」とは、どこかの基準に書いてあるものではなく、経営者により判断された評価基準です。リスクへの対応は、つまりは、経営的判断により行われます。