情報セキュリティに関する規定や対策を策定する際に、組織の重要な資産に関する危険性や脆弱性について評価していますか。
(このような手順をリスクアセスメントといいます。リスクアセスメントの手順を確立し、定期的に実施することが、費用対効果の高い情報セキュリティ対策を実施する上で重要な要素となります。)
資産に関して存在する危険性や脆弱性が、組織として許容範囲の危険性あるいは脆弱性であるか否かを明確にすることで、守るべき(管理すべき)資産を明確にすることができます。こういった分析・評価・検討を実施することをリスクアセスメントといいます。資産を守るためのセキュリティ対策に掛かるコストを最小限にしたり、セキュリティ対策の優先度を決定したりするために必要なものとなります。
1.組織の資産に関するリスク(危険性や脆弱性)を明確にします(洗い出します)
2.洗い出されたリスクが組織にとって許容範囲にあるかどうかを評価します
3.許容範囲を超えるリスクについて、対策の優先度を決定します
4.さらに、優先度の高い順に、リスクを下げるための対策を検討し、実施します
無作為にすべての資産に対してセキュリティ対策を検討・実施するのは、コスト面や管理面で無理があります。あらかじめ対策すべき(管理すべき)資産を明確にし、それぞれの資産に応じた対策を検討・実施する必要があります。
これらの分析・検討を実施することがリスクアセスメントです。以下にリスクアセスメントの大まかな手順を示します。
・まず組織が管理する資産の洗い出しが必要です。さらに、洗い出された資産に関して、重要度(その資産に問題が発生した際に、組織にとってどの程度の影響があるか)に応じたレベル分けを行います
・次に、セキュリティ対策の要点である機密性・完全性・可用性に関して、資産を(リスクがあるか=危険性や脆弱性があるか)評価します
・評価の結果現れたリスクに関して、組織として許容できるものか判断し、許容の範囲外にあるものを明確にします
・明確にされた許容範囲外のリスクについて、セキュリティ対策を含めた管理基準(管理策)を作成します