V2では、リスクアセスメントを効率的に実施できます
リスクの特定
リスクの自動提案
リスクアセスメントのはじめの第一歩は、適用範囲内にどんな情報セキュリティリスクがあるのか、そのリスクを「特定する」ことです。何もない状態からリスクを特定していくのは骨が折れる作業ですが、SecureNavi では、資産の内容をもとに、自動でよくあるリスクが提案されます。
提案されるリスクは、リスクの一覧画面でも確認できますし、資産名をクリックすると表示される、資産の詳細画面でも確認することができます。
リスクの分析
現在のセキュリティ対策の明確化
特定されたリスクに対して、分析を行います。「分析」とは、発生可能性と影響度という2つの観点から、リスクに点数をつける取り組みのことです。
リスクに点数をつけるためには、そのリスクに対して、現在どのような情報セキュリティ対策が施されているかどうかを把握しておくべきです。SecureNaviでは、リスクが自動提案されるのと同じく、セキュリティ対策である「リスク対応」も自動提案されます。このリスク対応は、リスク対応の一覧画面、もしくは、資産の詳細画面からご確認いただくことができます。
初期状態では、すべてのリスク対応は「保留中」というステータスになっています。すでに社内で実施している対策(あるいは速やかに実施できる対策)は、このステータスを「実施済」に変更してみましょう。それにより、組織が現在実施してる対策を、明確化することができます。
なお、「計画中」や「却下」というステータスもあります。このステータスは、後の取り組みで利用します。
発生可能性・影響度による分析
SecureNavi では、「発生可能性」「影響度」のそれぞれに対して、あらかじめ4段階の基準が用意されています。リスクの一覧画面、もしくは資産の詳細画面から、現在実施しているセキュリティ対策を鑑み、4段階の基準から適切なものを選択し、点数をつけていきましょう。
なお、点数をつけるのは「現在の発生可能性」および「現在の影響度」になります。「対応後の発生可能性」および「対応後の影響度」については、後の取り組みで利用します。
点数をつけると、自動的に「レベル」(リスクレベル)が計算され、表示されます。すべての点数をつけ終わり、すべてのリスクに「レベル」が表示されたら、リスク一覧画面からレベル順にソートしていただき、組織が抱えるリスクの大きさ順に並んでいるか、確認をしてみてください(うまく点数付けができていれば、一番上に表示されるリスクが、組織として最も注意しなければならないリスクになっているはずです!)
リスクの評価
リスク受容基準
リスクの評価においては、リスク受容基準という考え方が重要になります。リスク受容基準とは、組織において、受容できるリスクレベルの大きさを定めるものです。すべてのリスクを0にすることはできないため、「○点以下であれば、リスクを受容しても良いと判断する」といった基準のことです。
SecureNaviのデフォルトのリスク受容基準は「5点」で、これは「リスクアセスメント・対応マニュアル」にも明記されています。すなわち、6点を超えるリスクがあれば、それを「受容できないリスク」とみなし、何らかの形で対応を行う必要があります。
まずは、6点を超えるリスクがどの程度あるか、リスク一覧画面から確認してみましょう。
リスク対応のための優先度
リスクアセスメントの最後の取り組みは、このあとの取り組みである「リスク対応」のための優先度を決めることです。とはいえ、すでにリスクにはリスクレベルの点数がついていますから、この点数が高いものが、優先度が高いとして、以後の「リスク対応」の取り組みを進めていくことになります。