Web教材一覧情報倫理・セキュリティ

リスクアセスメント

キーワード

リスクアセスメント、リスク分析、情報資産の調査、情報資産の分類、リスクの大きさ


リスクアセスメント

何を(情報資産)を何から(脅威)どのレベルで(リスクの大きさ、受容リスク)守るのかを検討することをリスクアセスメント(risk assessment)といいます。
 JIS Q 31000 「リスクマネジメント―原則及び指針」(http://kikakurui.com/q/Q31000-2010-01.html)では、「リスク特定、リスク分析、リスク評価のプロセス全体」と定義しています。ここでは、それに「リスク対処」を加えました。
 セキュリティマネジメントでのPDCAサイクルのP(計画)に相当する部分です(リスク対応の実施の部分はDに相当)。
 次のような手順になります。

リスク分析の手順

上図では、脅威に関する技術的な観点と資産に関する経営的な観点に区分したほうがアプローチしやすいので2つに分岐していますが、独立して行うのではなく、相互の連携が必要です。

リスクの特定

情報資産の調査
まず、何を守るのかを明確にする必要があります。
 それには、対象となる情報資産の対象範囲を定める必要があります。情報資産として、情報システムに関連するものだけに絞るか、文書や人などにまで広げるかという対象の範囲もありますし、全社を対象にするか、特定の事業所や部門だけを対象にするかという部門の範囲もあります。
 当然ながらなるべく広い範囲にするのが理想的ですが、当初は比較的狭い範囲で実績を出し、逐次拡大するほうが現実的です。その場合でも、部分最適化にならないように、全体を把握したうえで、どこに絞るかを考えるべきです。
脅威の調査
「何から守るのか」では、コンピュータ内にあるデータをインターネットからの攻撃から守るのか、書類の盗難や紛失から守るのかなど、多くの脅威を想定する必要があります。
  ・自然災害:地震、火事、水害など
  ・ハードウェア障害:機器の故障、停電、通信回線の異常など
  ・ソフトウェア障害:購入・開発ソフトウェアのバグなど
  ・過失:データの誤入力、誤操作、モバイル機器の紛失など
  ・不正行為:ウイルス、不正アクセス、秘密漏洩、盗難など

リスク分析

重要性の分類
対象となる情報資産を、機密性・完全性・可用性に基づいて分類します。
  • 機密性
    社外秘、機密:機密であり社外に漏洩してはならないもの→個人情報、営業秘密など
    機密ではないが、社外に秘密にすべきもの→取引データ、社内通信記録など
    部外秘:関係者以外には秘密にすべきもの→人事査定など
  • 完全性
    データを破壊・改ざんされると復旧が困難なもの
  • 可用性
    利用される頻度が多く、消去・紛失があると困るもの
被害の把握
  • 情報システムの重要度
    「情報システム安全対策基準」では、情報システムを、重要度により3区分しています。
      A 人命、他人の財産、プライバシー等社会に影響を与える情報システム
      B 企業への影響の大きい情報システム
      C 企業への影響の小さい情報システム
  • 関連費用
    ハードウェアの故障は予備機の設置や購入手配ですみます。ソフトウェアはソースプログラムや仕様書から復元できます。それに対してデータは復元できないこともあります。そのためにデータのバックアップ、保管が重要になります。
    個人情報漏洩など社会に影響を与える情報システムでは、損害賠償や信用失墜など付帯的損失のほうがはるかに大きいことがあります。
  • 故障復旧期間
    即座対処が必要なもの、数時間の余裕があるもの、数日、数か月間に復旧すればよいものにより、対応コストが大きく異なります。
リスクの大きさ
リスクの大きさは「発生確率×被害の大きさ」で考えます。そして、対策費用と被害損失のバランスから、どの程度の対策をとるかを検討します。

リスク評価

リスク対応

このようなアセスメントにより、「誰が、何を、何から、どのような方法で守るのか」「その目標レベルをいつまでに実現するのか」などを一覧表に作成します。これがリスクアセスメントの成果物です。
 これが承認されることにより、実施のためのプロジェクトを開始します。


本シリーズの目次へ