リスクアセスメント
何を(情報資産)を何から(脅威)どのレベルで(リスクの大きさ、受容リスク)守るのかを検討することをリスクアセスメント(risk assessment)といいます。
JIS Q 31000 「リスクマネジメント―原則及び指針」(http://kikakurui.com/q/Q31000-2010-01.html)では、「リスク特定、リスク分析、リスク評価のプロセス全体」と定義しています。
セキュリティマネジメントでのPDCAサイクルのP(計画)に相当する部分です(リスク対応の実施の部分はDに相当)。
次のような手順になります。
- リスクの特定:「何を何から守るのか」を明確にすることです。情報資源の調査、脅威の調査を行います。
- リスク分析(狭義):情報資源の重要性と守るべきレベル、脅威の発生頻度により、リスクの大きさを推定します。
- リスク評価:リスク分析によるリスクの大きさと、組織でのセキュリティ基準、費用対効果などを総合的に判断して、対処すべきリスクの優先順位を決定します。
上図では、脅威に関する技術的な観点と資産に関する経営的な観点に区分したほうがアプローチしやすいので2つに分岐していますが、独立して行うのではなく、相互の連携が必要です。
これらのアセスメントが完了すると、対策の策定や実施のリスク対応に移行します。
リスクの特定
情報資産の調査
まず、何を守るのかを明確にする必要があります。
それには、対象となる情報資産の対象範囲を定める必要があります。情報資産として、情報システムに関連するものだけに絞るか、文書や人などにまで広げるかという対象の範囲もありますし、全社を対象にするか、特定の事業所や部門だけを対象にするかという部門の範囲もあります。
当然ながらなるべく広い範囲にするのが理想的ですが、当初は比較的狭い範囲で実績を出し、逐次拡大するほうが現実的です。その場合でも、部分最適化にならないように、全体を把握したうえで、どこに絞るかを考えるべきです。
脅威の調査
「何から守るのか」では、コンピュータ内にあるデータをインターネットからの攻撃から守るのか、書類の盗難や紛失から守るのかなど、多くの脅威を想定する必要があります。
・自然災害:地震、火事、水害など
・ハードウェア障害:機器の故障、停電、通信回線の異常など
・ソフトウェア障害:購入・開発ソフトウェアのバグなど
・過失:データの誤入力、誤操作、モバイル機器の紛失など
・不正行為:ウイルス、不正アクセス、秘密漏洩、盗難など
リスク分析
- 重要性の分類
- 対象となる情報資産を、機密性・完全性・可用性に基づいて分類します。
- 機密性
社外秘、機密:機密であり社外に漏洩してはならないもの→個人情報、営業秘密など
機密ではないが、社外に秘密にすべきもの→取引データ、社内通信記録など
部外秘:関係者以外には秘密にすべきもの→人事査定など
- 完全性
データを破壊・改ざんされると復旧が困難なもの
- 可用性
利用される頻度が多く、消去・紛失があると困るもの
- 被害の把握
-
- 情報システムの重要度
「情報システム安全対策基準」では、情報システムを、重要度により3区分しています。
A 人命、他人の財産、プライバシー等社会に影響を与える情報システム
B 企業への影響の大きい情報システム
C 企業への影響の小さい情報システム
- 関連費用
ハードウェアの故障は予備機の設置や購入手配ですみます。ソフトウェアはソースプログラムや仕様書から復元できます。それに対してデータは復元できないこともあります。そのためにデータのバックアップ、保管が重要になります。
個人情報漏洩など社会に影響を与える情報システムでは、損害賠償や信用失墜など付帯的損失のほうがはるかに大きいことがあります。
- 故障復旧期間
即座対処が必要なもの、数時間の余裕があるもの、数日、数か月間に復旧すればよいものにより、対応コストが大きく異なります。
- リスクの大きさ
- リスクの大きさは「発生確率×被害の大きさ」で考えます。そして、対策費用と被害損失のバランスから、どの程度の対策をとるかを検討します。
リスク評価
- セキュリティ基準
評価以前に、どの程度のレベルでセキュリティ対策をするかの基準(方針)が必要です。これは組織のセキュリティに関する成熟度により異なります。成熟度の低い状態で高いレベルを設定しても、実現不可能になります。
- 対策対象の優先順位
その基準レベルとリスク分析によるリスクの大きさを比較し、基準レベルを満足している事項は対象から外します。基準レベルに達していないものが対象になり、リスクの大きさや費用対効果などを総合的に判断して、対処すべきリスクの優先順位を決定します。
- 「桶の理論」への留意
多様なリスクが関係しているとき、セキュリティは最も低いところから崩れます。リスクの大きさが小さいものでも無視できないものがあります。
このようなアセスメントにより、「何を、何から、どのようなレベルで守るのか」が明確になります。次のプロセスは「どのような手段で守るのか」を検討して実行するリスク対応になります。