情報資産の洗い出し後、ISMSの取り組みの肝であるリスクアセスメントをおこないます。
これは「リスクの特定」→「リスクの分析」→「リスクの評価」という、3つのステップで行われます。情報セキュリティリスクを洗い出し、リスクレベルを用いて点数付けすることで、自組織が優先的に対応する必要があるリスクを明確にします。
この記事では、次のトピックについて説明しています。
(Pマーク用のマニュアルはこちらをご覧ください)
JIS Q 27001 対応箇所
本文 6.1.2
リスクとは
リスクという言葉は、厳密に定義すると難しいので、わかりやすく言ってしまうと「情報資産管理台帳に記載された、情報の機密性・完全性・可用性を脅かすもの」と考えてみると良いでしょう。
SecureNaviにリスクを登録するときには、この「機密性・完全性・可用性」のいずれかを選択する必要があります。
リスクの種類 | 特徴 |
---|---|
機密性 のリスク | 許可された者以外が、情報にアクセスできてしまうリスク (〜が漏えいする、〜が盗み見られる) |
完全性 のリスク | 情報が完全(正確)でなくなってしまうリスク (〜が改ざんされる、〜の設定をミスする) |
可用性 のリスク | 許可された者が、情報にアクセスできなくなるリスク (〜を紛失する、〜を消去してしまう、〜にアクセスできなくなる) |
リスクの洗い出し方(リスク特定)
リスクを洗い出すときのポイントとしては、完全を求めすぎないことが挙げられます。会社の情報資産も日々変化し、情報セキュリティを脅かす技術も日々進化していくなか、すべての情報セキュリティリスクをもれなく完璧に洗い出すのは不可能です。
ここでは「すべてをもれなく洗い出す」ことを重視せず、「特にレベルの高いリスクを可能な限り洗い出す」という考え方で、リスクを洗い出していきましょう。ここでいうレベルとは、発生可能性の大きさや、発生したときの影響度の大きさと考えましょう。
洗い出すリスクの数は、業務内容によって様々です。重要な情報を多く取り扱う部署では、その分リスクの数も多くなるでしょう。あくまで目安ですが、平均的には、1つの部門で5〜20程度のリスクが洗い出せれば良いでしょう。
リスクを洗い出すときの考え方について、以下の2つをご紹介します。
情報資産から考える
情報資産の洗い出しの取り組みで、各部署ごとに情報資産をリスト化しました。その情報資産をベースに、リスクを考える方法です。この例のように、それぞれの情報資産に対して「機密性」「完全性」「可用性」の観点からリスクを考え、レベルの高いリスクを洗い出していきます。
機密性は...
会社のホームページの情報はすでに公開されているから、機密性のリスクはなさそうかな。
完全性は...
会社のホームページの情報が不完全だとまずいな。今は一人体制で更新しているから...「会社のWebページに間違えた情報が記載される」というリスクを追加しよう。
可用性は...
会社のホームページにアクセスできないとまずいな。でも、製品のホームページは別にあるし、短期間のアクセス不可であれば、そんなに影響もないし。一旦記載は不要かな。
機密性は...
お客様の担当者の名前やメールアドレスも乗っているし、仮に漏えいしたらお客様に迷惑をかけてしまうな...「見込み顧客リストが第三者に漏えいする」というリスクを追加しよう。 顧客リストはGoogleDriveで管理しているから、メモに「GoogleDriveで管理してるから、権限設定を間違えると漏えいしてしまう」と書いておこう。
完全性は...
リストの中身が間違えたりずれたりすると、マーケティングメールを送るときに誤送信の可能性があるな...。でも、リストはほぼ自動生成で、人間が手を加えて加工することはほとんど無いから、一旦記載は不要かな。
可用性は...
リストにアクセスできなくなったら業務で困るけど、GoogleDriveだから基本的には安全だと考えてよいだろう。一旦記載は不要かな。
普段の業務から考える
もう1つの考え方は「日々の業務ベースで考える」方法です。情報資産の洗い出しでも行ったとおり、各部門の日々の業務の流れを考え、その業務において発生すると不味いリスクを洗い出す方法です。
リスクレベル(リスク分析)
一通りリスクが洗い出したあとは、リスク一覧に表示される「リスクレベル」の値を確認してみましょう。リスクレベルは、SecureNaviでは、以下の計算式によって計算されます。
リスクレベル = 発生可能性スコア + 影響度スコア
リスクは、リスクレベルの順に表示されていますから、あなたの直感的なリスクの大きさと、リスクレベルの値が大きくずれていないことを確認しておきましょう。
リスクレベルとリスク受容基準(リスク評価)
リスクレベルが「リスク受容基準」を上回った場合は、原則として対応が必要です。
リスク受容基準は、作成した文書の「リスクアセスメント・対応マニュアル」で明記されています(SecureNaviのリスク受容基準は「5」です)。このリスク受容基準を上回るリスクを洗い出し、対応を決定していきましょう。
端的な回答としては「対応しなくても問題ない」です。ただしISMSの適用範囲全体として、保有するリスクは少ない方が好ましいですので、リソース(担当者の工数や予算など)が許すのであれば対応を行っても問題ありません。
SecureNavi_V2でのリスクアセスメントの登録
V2では、リスクアセスメントを効率的に実施できます
- リスク特定:情報資産に関連するリスクを自動提案する
- リスク分析:リスクに紐づいたリスク対応を自動提案する
- リスク評価:リスク対応前後の評価結果や残留リスクを一覧表示する
詳細はSecureNavi_V2でのリスクアセスメントの登録をご覧ください