リスクマネジメント(情報セキュリティ)ーリスクを分析・評価し、コントロールを打つ

    リスクマネジメント手法について、私の情報セキュリティマネジメント試験勉強も兼ねて、説明させていただきます。

    まず、一般的にリスクはどこにでも存在するものです。重大なものから軽微なもの、企業に関わることから日常生活に関わることなどさまざまです。

    リスクマネジメントの重要な目的は、リスクを無くすことではありません。

    リスクを把握し、対応すべきリスクに優先順位をつけ、コントロールを決定し、実行することです。

    さらには定期的にPDCA(Plan-Do-Check-Act)サイクルを回していきます。

    ではまず、リスクを知るということから見ていきます。

    リスクアセスメント

    リスクアセスメントでは、リスク分析リスク評価を行います。

    1. リスク分析ーリスクを発見する「リスク特定」とリスクの大きさを決める「リスク算定」を行う

    2. リスク評価ーリスク分析で行ったリスク算定をあらかじめ設定してある基準と照らし合わせる

    手順としては以下の通りです。

    1. 事前準備

    リスク基準-リスクの評価基準と対応する基準をあらかじめ決定しておく。

    情報資産を

    ✓ 機密性(ある情報資産にアクセスする権限がある者だけがアクセスでき、それ以外の者には公開されないこと)

    ✓ 完全性(情報資産の正確さを維持し、改ざん(書き換え)させないこと)

    ✓ 可用性(必要な時は情報資産にいつでもアクセスでき、アクセス不可能がないこと)

    の観点から見た評価基準を決定する。

    その情報資産がもつ脅威と脆弱性の影響の深刻さの判断基準を決定する。

    リスク対応するか、リスク保有するかを見極めるリスク基準を決定する。

    リスクレベル=情報資産の価値(例:機密性、完全性、可用性の評価値の最大値を情報資産の価値と定義する)×脅威×脆弱性

    情報資産の洗い出し(情報セキュリティに関する場合)ー情報資産を棚卸し(データや紙媒体含めすべて)し、台帳を作成する。

    情報資産-ファイル、データベース、契約書など

    物理的資産ーコンピュータ、サーバなど

    ソフトウェア資産ー業務用ソフトウェア、OSなど

    人的資産ー人、保有する資格、技能、経験など

    無形資産ー組織の評判・イメージなど

    サービスー計算処理、通信サービス、設備(暖房、照明、電源、空調)など

    2. リスク分析

    1. リスク特定-リスクを発見する。

    a. 上記の情報セキュリティの3要素(機密性、完全性、可用性)の観点から事前準備で決定した評価基準に沿って、情報資産の値を決定する。

    b. 判断基準に沿って、その情報資産がもつ脅威と脆弱性の値を入力します。

    2. リスク算定-リスクの結果の大きさと起こりやすさを決めます。代表的な方法は2つあります。

    ・計算:リスクレベル=情報資産の価値×脅威×脆弱性

    ・リスクマトリックス:リスクレベルを求めるための早見表を使って、リスクレベルを求める

    3. リスク評価

    リスクが許容範囲内かどうかを決めるために、リスク分析の結果をリスク基準と照らし合わせます。

    許容範囲を超えるリスクは優先的にリスク対応を実施します。

    例)リスク算定で1~9 → 優先順位 低
      リスク算定で12~16 → 優先順位 中
      リスク算定で18~36 → 優先順位 高

    リスク対応

    予算や優先順位を踏まえて、以下の対応を考えます。

    ・リスク回避 - リスクを生じさせる原因をなくしたり、別の方法に置き換える。例)リスクが大きいにも関わらず利益が少ない業務は、廃止することを検討する。

    ・リスク低減 - リスクの発生率を低下させたり、リスクが顕在化した場合の被害の影響度を低下させたりする。例)従業員に対して情報セキュリティ研修を行う。

    ・リスク共有 - リスクを他者と共有する。リスク移転:外部委託により業務に関わるリスクを移転する、保険に入り損害額を補填する。リスク分散:災害に備えてデータサーバを遠隔地に設置する。

    ・リスク保有 ー リスクが顕在化したときに影響度が小さい場合など、対策を打たず、残したままにしておく。特定されていないリスクを含むリスクについて対策を見送ること。

    ・リスク受容 - 特定されていないリスクは含まず、把握したもののみ、リスクを承知したうえで、あえて対策を見送ること。

    まとめ

    いかがでしたでしょうか。

    このように文章にしてみると複雑に見えますが、実際に取り組んでみるとそれほど困難な作業ではないとおもいます。

    昨今のサイバー攻撃などの頻発化などを考慮すると、情報資産を守り、世間や取引先からの信頼を得るという点においては、情報セキュリティは企業にとって重要な業務の一つとなります。

    サイバー攻撃手法の多様化や情報セキュリティ対策の進化のスピードを鑑みると、恐らく専門家に任せることが最大のリスクコントロールとなるとは思いますが、重要なのは経営陣も従業員も一丸となって情報資産を守るという認識を高めることだと思います。

    まず手始めに、組織内にどのリスクが存在するのか話し合ってみるのが良いと思います。