はじめに
こんにちは。
昨日で息子が3か月になり、声を出したり、自分で泣き止んだりとできることがたくさん増えて驚きの日々を過ごしています。
自分の仕事の成長速度とは比にならない早さですね。
父も頑張らなければ。。
さて、この記事はうるる Advent Calendar 2022の11日目の記事です。現在私はうるるでISMS委員長を担っていおりますが、今回はISMS運用の一環で行っているリスクアセスメントについて書いていこうかと思います。
(今回、お伝えするリスクアセスメントは会社が所有する情報資産を対象としたリスクアセスメントとなります。他にも外部のリスクチェックリストを用いたリスク評価等もありますが、ここでは言及しません)
リスクアセスメント、訳すと「リスクの評価」。ワードからすると、会社のセキュリティのスペシャリストが行う作業のように感じられますが、そんなことはありません。
他の会社様でも同様の手法を取られていることも多いかと思いますが、これからご紹介する「型」にご自身(または会社)がもつ情報資産を当てはめていただければリスクアセスメントは実施できます。
私自身、ISMS委員長として1年弱と経験が浅く、情報セキュリティに関する知識も基礎から勉強中の身ですが、同じ境遇にある方や情報セキュリティを勉強しようとしている方に少しでも役に立てば幸いです。
ISMSとは
最初にISMSについて触れておきます。
ISMSとは、国際規格ISO/IEC 27001(JIS Q 27001)によると以下の定義がされています。
ISMSとは、情報セキュリティの確立、実施、維持、継続的改善によって、その組織の目的を達成するための、一連の要素(組織の構造、役割及び責任、計画、運用など)のことである
言わんとすることは何となく分かるような気もするけど、、、難しいですね。
私自身は「会社に存在するリスクに対して、適切なリスクアセスメントを実施し、会社の情報セキュリティを確保すること」という風に認識しています。
このISMSには第三者認証があり、
その認証を取得している当社でも情報セキュリティを担保するために、社員教育、情報セキュリティルールの策定・見直し、各種棚卸し等さまざまな運用を行っています。
リスクアセスメント
そのISMSの運用の中でも重要なことの1つであるのが、今回のテーマとする「リスクアセスメント」です。
ISMSでは、存在するリスクに対して適切にコントロール(リスクの低減、移転、回避、受容)することが望まれますが、リスクをコントロールするためにはまず、自社が守るべき情報資産を整理し、その情報資産に対するリスクを分析し、評価できていることが前提となります。
出典:リスクアセスメントとリスク対応|日本ネットワークセキュリティ協会
リスクの分析?評価?
ワードだけではどんなことを具体的にするのかイメージがつきにくいかと思います。
そのリスクアセスメントの手法について、順を追って説明していきます。
情報資産の洗い出し
まず会社として守るべき情報資産を洗い出します。
こちらはデータに限らず、紙媒体、キャビネットの鍵など情報セキュリティに紐づくもの全てを対象とします。この段階で抜け漏れが出てしまうとそのままリスクも埋もれてしまいます。なので各部門のISMS委員が中心となって各部門ごとに情報資産の洗い出しを行います。洗い出した結果は台帳等で整理しておきましょう。
①情報資産価値の設定
会社として守るべき情報資産がわかったら、次にその情報資産の価値を明確にしていきます。情報セキュリティを担保するための3要素「機密性」「完全性」「可用性」の観点から分析を行い、資産価値を判定していきます。
資産価値が高ければ、当然情報資産に対するセキュリティ要求水準が高いといえますし、対策を検討する際の優先順位もあがってきます。
a.機密性
仮に情報資産が漏洩または不当に開示されてしまった場合に、会社や利害関係者に与える影響度から、情報資産を以下の5つの要素でランクを設定します
- 極秘 【ランク4】
- 部外秘 【ランク3】
- 関係社外秘【ランク3】
- 社外秘 【ランク2】
- 一般情報 【ランク1】
b.完全性
情報資産が正確に処理されなかった場合に、会社や利害関係者に与える影響度から、
情報資産を以下の3つの要素でランクを設定します
- 社内のみらず、顧客や協力会社の業務に支障をきたす 【ランク3】
- 社内の業務に支障をきたす 【ランク2】
- 業務にほとんど支障をきたさない 【ランク1】
c.可用性
業務処理が停止、停滞した場合に、当社および利害関係者に及ぼす影響度の観点から、業務を提供できない時間が許与される限度により、以下の3つの要素でランクを設定します
- 即時復旧作業が必要 【ランク3】
- すぐに支障をきたす可能性が低く余裕がある 【ランク2】
- 後日の復旧作業で対応可能 【ランク1】
②脅威の分析
次に、情報資産に対して想定される脅威の分析を行います。
企業活動を行っていくなかで、どんなセキュリティ脅威があるのか「機密性」「完全性」「可用性」の観点でそれぞれ洗い出してみます。
下記は一例です。
一例:
機密性の場合→インターネットからの不正侵入、不正入出による情報の持ち出し
完全性の場合→内外部によるデータの改ざん、システムの障害によるデータ消失
可用性の場合→ウイルスによる業務停止、災害による業務停止
そしてその脅威の発生頻度について検討していきます。
発生頻度については、現状での対策レベルを考慮せず、脅威固有の発生頻度で考えます。
- かなりの頻度で発生する(週1回程度の可能性) 【ランク3】
- 時々発生する(月1回程度の可能性) 【ランク2】
- ほとんど発生しない(年1回程度の可能性) 【ランク1】
③脆弱性分析
次に、その脅威に対して現状行っている対策の実施レベルを分析していきます。
ここでいう脆弱性とは、対策レベルの不十分さを表しています。
- 全く対策を実施していない 【ランク3】
- 部分的に、または一時的に対策を実施している 【ランク2】
- 十分、かつ継続的に対策を実施している 【ランク1】
リスク値の算出
上記で、ランク付けした各項目をもとに以下の算出式を用いて、「リスク値」を出します。
リスク値=「①情報資産の価値(※)」×「②脅威の発生頻度」×「③脆弱性」
※①は小項目でランク付けしたa.~c.の平均値となります
会社における情報資産は当然ひとつや二つではなく、数多く存在します。
各情報資産に対する項目ごとのランクや最終的なリスク値を一覧化しておくと、リスクが可視化できて管理しやすくなります。(定期的な内容の更新を忘れずに)
評価
最後に算出されたリスク値をもとに、対策の要否を検討していきます。
リスク値が高いほど、その情報資産に対して追加の対策を要します。
会社によってどこから「リスク値が高い(追加対策が必要)」と線引きするかは異なりますが今回の場合は仮で『12』を設定しておきます。
リスク値『12』以上の場合:追加の対策が必須
リスク値『12』未満の場合:追加の対策の要否を関係者で判断
評価まで完了したら、リスクアセスメントは完了、次のフェーズとしてリスクのコントロール(リスクの低減、移転、回避、受容)へと進んでいきます。
リスクのコントロールは生産性、コスト、会社方針など様々な要素を総合的に考慮して結論が出されます。
さいごに
だいぶ固い話題で恐縮ですが、いかがでしたでしょうか。
冒頭にも記載しましたが、自分のようにISMSやセキュリティ関連の運用、またそのような分野に携わったことのない方に少しでも役に立っていれば幸いです。
私自身、情報セキュリティを扱う人間としてまだ駆け出しですが、うるるにはCISO、情シス、事業部エンジニアなど回りにはスペシャルな方々がたくさんいらっしゃいます。
そんな方々に知識や情報を分けていただきながら、これからも成長できるように頑張っていきます!
明日は@anisan115115さんの投稿となります!どうぞお楽しみに!!