情報セキュリティのリスク管理として有用な手段として挙げられるのが「情報セキュリティリスクアセスメント」です。
本記事では、情報セキュリティリスクアセスメントに関する基本的な考え方やその重要性の他、どのようにアセスメントを進めていくのかについて詳しく解説していきます。
情報セキュリティリスクアセスメントとは
情報セキュリティリスクアセスメントとは、組織の情報資産に対するリスクを特定、評価し、そのリスクを管理するためのプロセスです。アセスメントとは、「ものごとを客観的に評価・分析すること」を指します。
リスクアセスメントを通して、自社の情報を客観的に評価し、明確にします。これにより、潜在的な脅威や脆弱性を発見したり、適切な対策を講じたりすることができます。
情報セキュリティの3要素とは
リスクアセスメントを進める上で重要なのが情報セキュリティの3要素です。
情報資産の評価をする際には、機密性、完全性、可用性の3つの軸で評価を進めます。
- 機密性:許可された人のみが情報へアクセスできるリスク
- 完全性:その情報資産が正確であり、破損したり改ざんされたりするリスク
- 可用性:必要なときに情報へアクセスできるリスク
この3つの要素は、情報の安全性を確保するための基本的な事項です。
情報セキュリティリスクアセスメントの必要性
情報セキュリティリスクアセスメントは、組織が直面する潜在的なセキュリティリスクを把握し、適切な対策を講じるために不可欠です。これにより、セキュリティインシデントの発生を未然に防ぎ、ビジネスの継続性を確保できます。
ISMS認証を取得するために欠かせない
ISMS(情報セキュリティマネジメントシステム)認証を取得するためには、認証を取得する対象に関する情報資産に対して、セキュリティリスクアセスメントを実施していることが要件に含まれます。
ISMS認証に必須であるということは、それだけリスクアセスメントは情報セキュリティを推進する上で重要なプロセスである、ということです。
もちろん、ISMSの認証取得の予定がない企業でも、リスクアセスメントを実施することをおすすめします。適切な情報セキュリティを講じるためにも、リスクを分析することは重要であると考えましょう。
情報セキュリティリスクアセスメントの手法・手順
情報セキュリティリスクアセスメントは、リスクを特定し、評価し、管理するための具体的な手順が定められています。
手順に沿って、リスクアセスメントを進めていきましょう。
「情報資産」の定義を定め、分類・整理する
まず、組織内の情報資産を特定し、それらを重要度やリスクにもとづいて分類・整理します。
情報資産とは、その名の通り「情報として資産価値のあるもの」です。
情報資産として挙げられる例を紹介します。
- 契約書
- 顧客情報
- 人事情報
- 自社開発したソフトウェア
- 技術・営業などのノウハウ
- 社員証
- 名刺
- PCやスマートフォン、タブレット
個人情報関連以外にも、自社の競争力のもとになるノウハウも情報資産として計上する必要があることを忘れないようにしましょう。これらの資産を「情報資産管理台帳」にまとめ、整理していきます。
ここで重要なのは、「どんな情報がどこに保存されているか」という点です。契約書は紙で保存している場合もありますし、近年では電子契約も増えていますのでクラウド上に契約書を保存している場合もあるでしょう。
例えば、2020年までの契約書は紙で保存しており、それ以降はクラウドサーバーに電子文書として保存している場合には、以下の2つの項目として計上する必要があります。
- 紙の契約書をキャビネットに保管している
- 電子契約書データをクラウドサーバーに保管している
情報セキュリティリスク洗い出す
情報資産を列挙できたら、それぞれの情報資産に対してリスクを定義していきます。
情報セキュリティリスクを洗い出すためにはいくつかの方法がありますが、ここでは多くの企業に適用しやすい2つの手法を紹介します。
- 情報資産から洗い出す
- 業務フローから洗い出す
情報資産から洗い出すパターン
作成した情報資産管理台帳をもとに、各資産にどのようなリスクが存在するのかを評価します。情報資産を適切に抽出し、リスク分析を実施することで、資産ごとに適切な対策を立てることが可能です。
情報資産をもとにリスクを評価するため、漏れなくリスクを設定できるようになります。
業務フローから洗い出すパターン
ISMSの認証対象とする業務から業務フローを定義し、リスクを洗い出します。
業務フローをもとにリスクを洗い出すことで、業務プロセス全体を通じてどのようなセキュリティリスクが存在するかを評価できるようになります。業務プロセスをもとに評価を進めるため、実業務に適した形でのリスク分析が可能です。
情報セキュリティリスクを分析・評価する
特定されたリスクを分析し、その影響度や発生可能性を評価します。
具体的には、リスクに対してどの程度発生する可能性があるのかという「発生確率」と、発生することで業務へどの程度の影響を及ぼすのかという「影響度」の2点で分析を行います。
例えば、サイバー攻撃などによる個人パソコンへの攻撃発生確率は低いとはいえず、攻撃を受けるとパソコンが利用不可能になる場合もあるため影響度も高いといえます。
一方で、地震などの天災により紙媒体が消失するリスクは「発生する可能性は高くはないが影響度の高い」リスクといえますが、地震大国の日本においては無視できない存在です。
もちろん、全てのリスクを列挙することは事実上不可能です。自社の状況に応じて、考えうるリスクを可能な限り列挙するようにしましょう。
優先度の高いリスクから対応する
リスクの分析が完了したら優先度にもとづいて、対応策を計画・実施します。特に「発生可能性や影響度の高いリスク」に対しては迅速な対応が必要です。
「発生頻度が高く影響度が低いリスク」と「発生頻度が低く影響度が高いリスク」については、業務への影響度合いとリスクの対応にかかるコストを鑑みて、適切に対応可否を判断するとよいでしょう。
ここからは、リスクへの対応方法を4つ紹介します。
リスク低減 | リスクの発生可能性や影響度を下げる
リスクの発生確率を下げたり、発生したとしても影響度を最小限に抑えたりするように対策します。
例えばサイバー攻撃によるリスクを低減するため、セキュリティソリューションの導入や、社員にセキュリティ教育を実施することでリスクを低減します。
リスク回避 | リスクのある業務を代替し、発生を抑制する
リスク回避は、リスクのある業務やプロセスを変更することで、リスクの発生を抑制する方法です。
情報資産の持ち出しによる紛失・流出リスクを抑えるため「パソコンの持ち出しを禁止する」「印刷を禁止して紙での持ち出しを抑制する」といったことが考えられます。
リスク移転 | 業務の委託や保険加入などによってリスクを移転する
リスク移転は、リスクを第三者に移す方法です。サイバー攻撃を受けたときのための保険への加入や、業務の一部を外部に委託することで自社内でのリスク発生を防ぐことが対策として考えられます。
リスク保有 | あえて対応せずリスクを保有する
全てのリスクに対応するには時間的・人的なコストがかかってしまうため、優先度をつけて「このリスクは対応しない」という判断をします。
特に、リスクが顕現化した際に必要となる対応コストよりも、軽減するためのコストの方が高くつくのであれば、対策せずに保有することを検討するとよいでしょう。
リスクアセスメントの見直しや改善を行う
リスクアセスメントは1度実施したら終わりではありません。リスクの発生確率や影響度は世の中の情勢に応じて変動し続けます。定期的にリスクアセスメントを実施し、適切にリスク対策を継続してください。
また、情報資産の計上漏れや、リスクの対策が不適切ではリスクアセスメントの効果が下がってしまいます。自社の状況に合わせて、リスクアセスメントの進め方やリスクの分析方法などを適宜修正することが大事です。
情報セキュリティの対策が目的であり、リスクアセスメントはあくまでも手段であることを忘れないようにしましょう。
情報セキュリティリスクアセスメントの具体例
ここからは、実際にセキュリティアセスメントを進める際の具体例をもとに、リスクアセスメントの流れを解説します。
例として、製造業であるA社の営業担当が利用しているパソコンについて考えてみましょう。営業担当は、外回りのためにパソコンを毎日持ち運んでいます。
情報資産の「重要度」に応じてリスクのレベルを判定する
まずは、情報資産の重要度から判断していきます。重要度は、度合いに応じて1〜3の3段階で設定します。
「機密性」の判断基準
機密性は、公開範囲に応じて3つのレベルを設定します。
1:社外公開可能
2:社内公開可能
3:関係者のみ公開
原則として、A社ではパソコンのHDDに暗号化をかけることとし、ログイン時にパスワードを設定しています。パソコンは共用ではなく本人のみが利用することから、利用者は限定的とえるため「3」とします。
機密性レベル:3
「完全性」の判断基準
完全性は、リスクが顕現化した際の影響範囲によってレベルを設定します。
1:社内の一部のみ影響
2:社内のみ影響
3:社内外に影響
A社では、顧客情報の管理にSaaSサービスを利用しており、営業個人がExcelでデータを管理することは禁止されています。そのためパソコン内にのみ存在する情報はなく、パソコン上のデータが紛失したり、改ざんされたりしたとしても企業全体としては影響がありません。よって、パソコンに問題があったとしても影響は本人のみ、もしくはチーム内のみが影響を受けるため、「1」とします。
完全性:1
「可用性」の判断基準
可用性は、停止した際に復旧までどれだけの日数を許容できるかによってレベルを設定します。
1:数日利用不可能でも問題ない
2:当日中に復旧する必要がある
3:停止できない(常時利用可能である必要がある)
各人のパソコンが利用不可能となった場合、その人の業務が停止してしまいます。パソコンがないとほとんどの仕事が進まなくなるため、なるべく早く復旧したいところです。とはいえ、復旧までの間に休憩したり、パソコンを使わない業務をしたりすることは可能です。数時間程度であれば大きな問題にはならないと考え、「2」とします。
可用性:2
重要度レベルの設定
重要度のレベルは、機密性、完全性、可用性のうちもっとも高い値を設定します。
今回の例では、機密性が3であることから、重要度のレベルは「3」となります。
「リスクの発生率」に応じてレベルを判定する
次に、リスクの発生確率を判定します。重要度と同様に、1〜3の3段階でレベルを選択します。
1:発生確率小(発生する可能性はほぼなく、めったに発生しない)
2:発生確率中(発生する可能性はあるが、頻度はそれほど高くない)
3:発生確率大(ほぼ確実に発生し、頻繁に起こりうる)
パソコンはインターネットに接続されており、サイバー攻撃の脅威に常にさらされています。ウィルス対策ソフトを導入していても完全に防げるわけではありません。また、パソコンは故障リスクもあるため利用不可になる可能性もあります。
マルウェアの感染や本体の故障の発生確率は高くないものの、まったく発生しない、というわけではないため、レベルを「2」とします。
脆弱性のレベル
情報資産が適切に管理されているかを基準とし、1〜3の3段階でレベルを選択します。
1:脆弱性低(適切に管理されている)
2:脆弱性中(管理方法に改善できる余地がある)
3:脆弱性大(管理されていない)
パソコンにはウィルス対策ソフトをインストールしており、アカウントもMicrosoft Entra IDで管理しています。HDDを暗号化しており、紛失しても情報漏えいのリスクは低いため、レベルを「1」とします。
「リスク値」の計算式にもとづいてレベルを判定する
リスク値の計算は、以下の計算式をもとに計算します。
リスク値 = 重要度のレベル × 発生率のレベル × 脆弱性のレベル
今回の結果を式に当てはめると、
リスク値 = 3 × 2 × 1 = 6
となり、リスク値は6となります。
「リスク値」に応じて対応の優先順位を決める
計算したリスク値に合わせて対応の可否及び優先順位を決めます。
A社では以下の基準で対応可否を決定しているため、それに応じて対応を行います。
16以上:緊急対応が必要
9以上:要対応
それ以下:対応を個別に検討
今回の件についてはリスク値が6であるため対応を要するリスクではないと判断し、追加の対応を行わないこととしました。
情報セキュリティリスクアセスメントを適切に行うためのコツ
適切にアセスメントを実施するためには、「漏れなく正確に、一定の基準で実施すること」を忘れないようにしてください。
特に情報資産を適切に洗い出すことが重要です。情報資産として認知できない資産は、適切に管理されず放置される可能性が高くなります。もしその情報が漏えいした場合、検知が遅れる上、適切に対策できていない場合には被害が大きくなる可能性が高いです。
自社を守るためにも、情報資産を漏れなく抽出し、適切に管理するところから始めるようにしましょう。
三和コムテック株式会社では、総合的なセキュリティサポートを実施しています。
自社のセキュリティ対策を含め、セキュリティ診断やコンプライアンスチェックなど、リスクへの対策に有効なソリューションを提供していますので、リスクの評価や対策に悩んだ場合には、ぜひ下記のリンクよりご相談ください。
セキュリティソリューション
まとめ
情報セキュリティリスクアセスメントの基本から、具体的な流れを例に沿って紹介しました。
サイバー攻撃が巧妙化されており、さまざまな企業の情報資産が狙われているのが現状です。情報セキュリティリスクアセスメントを通して、自社の情報資産を脅威から守れるように推進してはいかがでしょうか。
