リスクの識別
リスクアセスメントに先立ってリスクの識別を実施する。リスクの分析を行うためには、リスクが識別されている必要がある。識別されないリスクは分析から漏れるため、リスク識別は網羅的に行う。リスクの識別も含めてリスクアセスメントという場合があるため、注意が必要である。
資産価値の算出
リスクを識別するために資産の特定と資産価値の算出を行う。洗い出された資産について、機密性、完全性、可用性の観点から資産の重要度を判定する。
資産価値の算出例
| 1 情報資産 | 資産価値 |
| 1)顧客データ | 3 |
| 2)業務ノウハウ | 3 |
| 3)業務手順書 | 2 |
| 2 紙文書 | 資産価値 |
| 1)他社との契約書 | 1 |
| 2)外部委託契約書 | 1 |
| 3 ソフトウェア資産 | 資産価値 |
| 1)ワードプロセッサ | 0 |
| 2)図版作成ソフト | 1 |
| 3)DTPソフト | 1 |
点数化の基準例
| 3点 | 緊急 | 企業の存続に関わる重大なダメージ |
| 2点 | 重大 | 長期間の業務停止をともなう |
| 1点 | 注意 | 短期間の業務停止をともなう |
| 0点 | 軽微 | 処理効率が悪化する |
例えば、顧客データや業務ノウハウは企業の生命線であるため、喪失や漏えいは企業の存続に関わる可能性がある。一方でソフトウェア資源は重要な資産だが、再購入などで対応することが可能で、処理効率の悪化や短時間の業務停止に影響範囲を留めることができそうである。
脅威の特定と重要度の算出
保護すべき資産を特定できれば、それに対する脅威も明確になる。発生頻度や業務への影響によって重要度を評価する。
脅威の特定と重要度の算出例
| 1. 顧客データに対する脅威 | 危険度 |
|---|---|
| 1) 火災による紛失 | L |
| 2) 盗難によるもの | M |
| 3) モバイル機器の置き忘れ | H |
点数化の基準例
| H点 | 月に1回など、 頻繁に発生する |
| M点 | 半年~年に1回程度の発生頻度 |
| L点 | 数年に一度発生する |
ここでは算出を簡単にするために点数化の基準を発生頻度で設定した。火災は発生すれば大きな被害をもたらすが、そうそう起こるものではないので危険度が低くなっている。モバイル機器の置き忘れは、社員数にもよるが頻発する可能性がある。
脆弱性の特定と重要度の算出
脅威に対する脆弱性を明らかにする。脆弱性につい ても発生頻度や業務への影響を勘案して重要度を評価する。
脆弱性の特定と重要度の算出例
| 1. 顧客データに対する脆弱性 | 危険度 |
|---|---|
| 1) データを入れるロッカーに鍵がない | H |
| 2) データを入れるロッカーは喫煙室の隣 | M |
| 3) データを入れるロッカーが汚い | L |
点数化の基準例
| H点 | 脅威が発生した場合、リスクに直結する |
| M点 | 脅威が発生した場合、 リスクとして顕在化する可能性がある |
| L点 | 脅威が発生してもリスクに発展する可能性は小さい |
データが紙で存在する場合、 その保管場所に鍵がなければ悪意のある侵入者や内部犯が存在した場合、盗難に直結する。一方で、ロッカーが汚いことにより「盗難に気づかない」「データが汚れて可読性が落ちる」などの影響が考えられるが、リスクに直結するとは必ずしもいえない。したがって、ここではロッカーの掃除よりも鍵をかけることの方が重要であると点数化できる。
リスク評価
このようにリスク因子を特定し、リスクの大きさを算定した上でそのリスクが会社の業務にどの程度の影響を与えるか評価する。リスクの評価にはマトリクスチャートなどが利用される。
リスク評価
ここまでの例ででてきた顧客データに潜在するリスクについて分析してみよう。
まず 「盗難」に関するリスクである。盗難自体は半年~年に1回程度の発生頻度と考えられるので、脅威レベルは 「M」である。それに対して、データを保管しているロッカーに鍵がないという脆弱性があるため、脆弱性レベルは脅威が発生した場合にリスクに直結する「H」である。顧客データを失ったとなれば企業の存続に関わる重大なダメージを負うから、資産価値評価は 「3点」 である。これをプロットするとリスク評価 は「6点」になる。
評価例1 顧客データの盗難
| 脅威レベル | L | M | H | |||||||
| 脆弱性レベル | L | M | H | L | M | H | L | M | H | |
| 資産価値 | 0 | 0 | 1 | 2 | 1 | 2 | 3 | 2 | 3 | 4 |
| 1 | 1 | 2 | 3 | 2 | 3 | 4 | 3 | 4 | 5 | |
| 2 | 2 | 3 | 4 | 3 | 4 | 5 | 4 | 5 | 6 | |
| 3 | 3 | 4 | 5 | 4 | 5 | 6 | 5 | 6 | 7 | |
一方で、火災についてのリスクも算出してみよう。 火災はそうそう発生するものではないので、数年に一度発生する脅威レベルである「L」が該当する。しかし、データを入れるロッカーが喫煙室の隣にあるということは、火元になりそうな箇所に隣接しているため、脅威が発生した場合、リスクとして顕在化する可能性がある。したがって脆弱性レベルは 「M」である。資産価値評価は同様に「3点」なので、これをプロットするとリスク評価は「4点」となる。
評価例2 顧客データの火災
| 脅威レベル | L | M | H | |||||||
| 脆弱性レベル | L | M | H | L | M | H | L | M | H | |
| 資産価値 | 0 | 0 | 1 | 2 | 1 | 2 | 3 | 2 | 3 | 4 |
| 1 | 1 | 2 | 3 | 2 | 3 | 4 | 3 | 4 | 5 | |
| 2 | 2 | 3 | 4 | 3 | 4 | 5 | 4 | 5 | 6 | |
| 3 | 3 | 4 | 5 | 4 | 5 | 6 | 5 | 6 | 7 | |
このマトリクスチャートでは、リスク評価を0~7点の8段階で行っているため、どちらも高いリスクであることがわかる。早急に対処する必要があるが、例えば、予算の都合などで段階的に対策を行わなければらないような状況では、6点である盗難リスクへの対応がより緊急の課題であると判断できる。
リスク評価の方法
リスク評価は重要なプロセスであるため、さまざまな組織がいろいろなリスク評価手法を研究している。体系的、客観的にリスク評価を行うためには、詳細リスク分析であっても標準化されたリスク評価方法を参考にする、一部導入する、といった措置をとるのが現実的である。
定量的リスク評価
リスクを数値で表す評価方法である。予想損失と発生確率について評価を行う。ただし、リスクの損失を正確に分析することは非常に難しく(例: ブランドイメー ジの失墜がどの程度の金銭的損失になるか)、完全に確立された分析手法はまだない。
評価者の主観が入る余地が少ないため、客観的な評価を行いやすい利点がある。
定性的リスク評価
リスク評価は、明確に金額に変換することが困難であり、また、テロの発生確率などは統計値などから導き出すのが難しいため、 評価者の経験や知識で行わなければならない場合がある。 これを定性的なリスク評価とよぶ。 定性的リスク評価では、情報資産の重要性、脅威、脆弱性などから評価を行う。
定量評価と定性評価を組み合わせて使うケースもある。
リスクの受容水準
評価されたリスクは、リスク対応によって低減させていくことになる。しかし、リスクを完全にゼロにすることは不可能であったり、非常に高額な費用がかかったりする。したがって、健全な経営の範囲内でリスクをコントロールするためには、リスク対応方法の費用対効果についても考慮しなければならない。どの水準までリスクを受容するかは、経営方針、業務形態などにより異なる。 リスク対応の結果得られたリスク水準が、リスクの受容水準をまだ上回っていた場合は、さらなるリスク対応が必要になる。このとき、経営陣、セキュリティ担当者、他のステークホルダーの間で適切なリスクコミュニケーションを行い、情報の交換と共有をすることが重要である。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント