#リスク分析と評価
リスクマネジメントを行うためには、情報資産を調査し分類する必要がある。
それを情報資産台帳にまとめる。
##情報資産の調査
ISMSの適用範囲で用いられている情報資産の調査を行う。
部門ごとに漏れの内容にリスクを洗いだす。
過去の事件や事故、損害額なども考慮し、脅威と脆弱性を認識する。
##情報資産の重要性による分類と管理
単独で管理すると分析がつらい。
そのためグループ化して管理する。
##情報資産台帳
機密性や重要性、分類グループなどをまとめたのを情報資産台帳という。
情報資産をもれなく記載するだけでなく、変化に応じて適切に更新していくことも必要。
#リスクの種類
##リスク
リスクとはまだ起きてはないが、起こると情報資産に影響を与える事象や状態のこと。
すでに起こったことはリスクではなく問題として処理する。
また起こっていない、起こるかどうかが不確実なことを、リスクとして洗い出す。
##リスク源
リスク発生源(リスクソース)を除去することが有効なリスク対策となる。
##リスク所有者
リスクを洗い出し、リスクとして特定したら、リスク所有者を決定する必要がある。
リスク所有者とは、リスクの運用管理に権限をもつ人。
実質的には組織の役員やスタッフが該当する。
##リスクの種類
リスク名 | 内容 |
---|---|
財産損失 | 火災リスク、地震リスク、盗難リスクなど |
収入減少 | 信用やブランドを失った結果、収入が減少するリスク |
責任損失 | 製造物責任や知的財産権侵害などで賠償責任を負うリスク |
人的損失 | 労働災害や新型インフルなど、従業員に影響を与えるリスク |
ほかにもSNSハザードとかある。
サプライチェーンリスクは、委託先。を含めたどこかで問題が起きたときに受けるもの。
モラルハザードは保険に加入している。が故に、リスクを伴う行動をとってしまうこと。
オペレーショナルリスクは、業務活動に関連するリスクの総称。
##リスク定量化
重要性の判断のため、金額などで定量化する必要がある。
手段としては年間損失額の算出とか、得点法などある。
##リスクマネジメントとリスクアセスメントの違い
情報セキュリティマネジメントでは、リスクに関して組織を指揮し、管理する。
そこで行われるのがリスクアセスメントやリスク対応である。
リスクマネジメントはPDCAサイクルの一連のプロセスだが
リスクアセスメントはPDCAのPに該当する部分である。
##リスク基準
情報セキュリティリスクアセスメントを実施するための基準をリスク基準という。
重大性を評価するための目安とする条件で、アセスメントの実施者によってブレがでないように設定しておく判断指標。
対策を実施するかどうかを判断する基準は、リスク受容基準という。
##リスクアセスメントのプロセス
1:リスク特定
リスクを発見して認識し、記述する。
2:リスク分析
特定したそれぞれのリスクに対し、情報資産に対する脅威と脆弱性を考える。
リスクの発生確率を求め、実際にリスクが起こった時の影響の大きさを考える。
大、中、小みたいな相対評価も多いが、金額で算出することもある
定性的リスク分析・・・金額以外で分析する
定量的リスク分析・・・金額で分析する
3:リスク評価
分析したリスクに対し、どのような対策を行うかを判断するのがリスク評価。
リスクが受容可能どかうかを決定するために、分析結果を基準と比較する。
そして評価基準などから評価し、優先度をつけていく。
##リスク選考とリスク忌避
リスク選考(risk appetite)とは、リスクのある取引などを行うこと。
リスク忌避(risk aversion)とは、リスク回避のため取引などを行わないこと。
##リスクレベル
リスクレベルは優先度のこと。
重大度(重篤度)と発生の可能性というマトリクスで決まる。
↓可能性 重大度→ | 重大 | 中程度 | 軽度 |
---|---|---|---|
高い | III | III | II |
可能性がある | III | II | I |
ほとんどない | II | I | I |
##リスク分析の手法
リスク分析の代表的な手法には、次のようなものがある。
1:ベースラインアプローチ
既存の標準や基準をベースラインとして、組織の対策基準を策定してチェックする。
2:非形式的アプローチ
コンサルタントや担当者の判断で行う。
3:詳細リスク分析
情報資産に対し、資産価値、脅威、脆弱性、セキュリティ要件などを詳細に識別子、評価していく手法。
具体例としては、JRAM(JIPDEC Risk Analysis Method)がある。
JRAM2010年度版もあるらしい。
4:組み合わせアプローチ
複数のアプローチを併用する手法。
#情報セキュリティリスク対応
##リスク対応の考え方
大きく分けるとリスクコントロールとリスクファイナンシングがある。
リスクコントロールは何らかの行動による対応、リスクファイナンシングは資金面で対応することを示す。
リスクが起きたときに、その被害を回避する、または軽減するように工夫することをリスクヘッジという。
リスクが顕在化したときに備えて、情報化保険(IT保険)を利用する方法もあれば、IT事業者向けの賠償責任保険や個人情報漏洩に特化した保険なども用意されている。
##リスク対応の方法
リスクを評価した後で、それぞれのリスクにどのように対応するかを決めていく。
リスク対応にはいろんな方法があり、排他ではないが、適切ではない状況もある。
1:リスクテイク
機会追及のためにリスクをとる、または増加させる。
一般的なリスクを減らすようなセキュリティ対策はこれにあたり、最適化、低減、強化ともいわれる。
2:リスクの回避
リスク源を除去する、つまりリスクを生じさせる活動を開始または継続しないと決定することにより、リスクを回避する。
たとえばMLの運用をやめるとか。
3:リスクの共有(移転、分散)
他者とリスク共有する。
保険を掛けるなどで、リスク発生時の費用負担を外部に転嫁するなどの方法がある。
4:リスクの保有(受容)
情報に基づいた意思決定によって、リスクを保有することを受け入れる。
具体的には何もしない対応を指す。
リスク受容プロセスでは、リスク所有者の承認が必要になる。
##残留リスク
リスク対応後に残るリスクを残留リスクという。
あるリスクに対してリスク対応をした結果、残るリスクの大きさのことを指す。
残留リスクを明確にし、そのリスクが許容範囲かどうかをリスク所有者が再度判断する必要がある。
##リスク対応計画
リスク対応系アックは、それぞれのリスクに対して脅威を減少させるためのリスク対応の方法をいくつか策定するプロセスである。
計画作成時には特定したリスクをまとめたリスク登録簿を作る。
そのあと、各リスクに対する戦略を考え、リスク登録簿を更新する。
##リスクコミュニケーション
リスクコミュニケーションは、リスクに関する正確な情報を企業の利害関係者(ステークホルダ)間で共有し、相互に意思疎通を図ること。
特に災害など、重大で意識の共有が必要なリスクについて行われる。