ISO 31000、JIS Q 31000、リスクマネジメント、リスクアセスメント、リスク特定、リスク対応、リスク分析、リスク対応、リスク受容(保有)、リスク回避、リスク移転(転嫁)、リスク軽減(低減)、リスク活用、リスク共有、リスク強化、残留リスク、リスクコントロール、リスクファイナンス、物理的セキュリティ対策、技術的セキュリティ対策、人的セキュリティ対策、組織的セキュリティ対策、SPD、UPS、ゾーニング、入退室管理、クリアデスク、クリアスクリーン
リスクマネジメントの分野では、 JIS Q 31000 と JJIS Q 27000(ISMS規格)は、整合性を持ち、双方での記述があります。ここでは、その分野を本章にまとめています。また、リスクの定義や情報セキュリティの要素(機密性、完全性、可用性など)のような基本的事項は、ここでは省略しています。
ISO 31000(JIS Q 31000):リスクマネジメント−原則及び指針
リスクマネジメントに関するガイドラインのような位置づけです。
JIS Q 31000は、国際標準であるISO 31000に基づいて作成されました。日本では阪神・淡路大震災を契機にJIS Q 2001(リスクマネジメントシステム構築の指針)が策定していましたが、廃止されJIS Q 31000になりました。
- 他の規格との重複を避けるため、非常事態時対応や事業継続管理の分野を対象外としている(附属書を掲げている)
- 全てのリスクを運用管理するための汎用的なプロセスとそのプロセスを効果的に運用するための枠組み、リスクマネジメントの運営に必要な要素と各要素の有機的な関係を示している。
- 枠組みとリスクマネジメントプロセスの両方を継続的に改善する体系を提示する。
- 認証に使用されることを意図していないことを明記している。
- リスクマネジメントに関する用語を定義している。
序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 原則
5, 枠組み
5,1 一般
5,2 リーダーシップ及びコミットメント
5,3 統合
5,4 設計
5,5 実施
5,6 評価
5,7 改善
6, プロセス
6,1 一般
6,2 コミュニケーション及び協議
6,3 適用範囲,状況及び基準
6,4 リスクアセスメント
6,5 リスク対応
6,6 モニタリング及びレビュー
6,7 記録作成及び報告
IEC/ISO 31010 JIS Q 31010 リスクマネジメント―リスクアセスメント技法
JIS Q 31000の支援規格であり,リスクアセスメントのための体系的技法の選択及び適用に関する手引を提供するものです。
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. リスクアセスメントの概念
5, リスクアセスメントプロセス
6. リスクアセスメント技法の選択
6.1 一般
6.2 技法の選択
6.3 資源の可用性
6.4 不確かさの性質及び程度
6.5 複雑性
6.6 ライフサイクルの諸フェーズでのリスクアセスメントの適用
6.7 リスクアセスメント技法の種類
附属書A(参考)リスクアセスメント技法の比較
附属書B(参考)リスクアセスメント技法
解 説
この文書の「読みどころ」は附属書です。ブレーンストーミング、デルファイ法、モンテカルロシミュレーションなど約30の技法が紹介され、どのような用途に適するかを示しています。
ISO/TR 31004 リスクマネジメント-ISO 31000実施の手引
現在組織で適用しているリスクマネジメント(ISMSなど)を、その組織の特徴に合わせた方法で、ISO 31000に矛盾しないように移行させるための体系的なアプローチを提供するものです。
情報セキュリティマネジメント
リスクマネジメントの枠組み
枠組みとは、リスクマネジメントプロセスを効率的・効果的な実践を支援するフレームワークのことです。
他のビジネスマネジメントと同様に、経営者の強いコミットメントのもとで、全社的な継続的改善活動として、PDCAサイクルにより運用することが求められます。
従来は、リスクマネジメントプロセスにおけるPDCAサイクルが主でしたが、JIS Q 31000 では枠組みにおいてもPDCAが重要だとしています。
指令及びコミットメント
↓ ↑
┌→P:設計
│ D:実施 ←─→ リスクマネジメントプロセス
│ C:評価 └(ここでもPDDCA)
└←A:改善(適応、継続的改善)
リスクマネジメントのプロセス
情報セキュリティマネジメントは次の順序で進められます。
┌─────┐
コ⇔適用範囲状況及び基準⇔モ
ミ ↓ ニ
ュ ┌リスク────┐ タ
ケ │ アセスメント│ リ
| │ │ ン
シ ⇔ リスク特定 ⇔ グ
ョ │ ↓ │ 及
ン ⇔ リスク分析 ⇔ び
及 │ ↓ │ レ
び ⇔ リスク評価 ⇔ ビ
協 └───↓───┘ ュ
議 ⇔ リスク対応 ⇔ |
└─────┘
・リスクの特定(何を何から守るのかの列挙)
・リスクアセスメント(優先順位の決定)
・リスク対応(どのような対処をするのか)
・情報セキュリティ対策(具体的な対策)
リスクアセスメント(risk assessment)
リスクの重要性を評価するために目安とする条件をリスク基準といいます。
リスクアセスメントでは、リスク基準により、リスク特定→リスク分析→リスク評価を行い、何を何から守るのか、優先順位の決定を行い、「リスク対応」へと進みます。
リスク特定(risk identification)
リスクを発見,認識及び記述するプロセス。現況に即した,適切で最新の情報が重要です。
一つ以上の目的に影響するかもしれない不確かさを特定することがあります。
リスク源が組織の管理下にあるか否かを問わず,リスクを特定することが望ましい。
リスク特定の対象と脅威の例示
(ISOやJISでの例示ではありません。)
軽いリスクも余さず発見・認識すること、包括的な一覧を作成することが極めて重要とされています。この段階で特定されなかったリスクは、その後の分析の対象から外れてしまうからです。
- 建物・設備
- 水害:上階に設置、浸水防止・排水設備
- 地震:転倒防止、落下防止、免震床設備
- 火災:火災検知センサ、窒素系ガス消火設備
- 不法侵入・破壊:建物・室の非表示、入室監視
大事故対策:バックアップセンターの設置
- 情報機器
- 落雷:避雷針、SPD(避雷器、サージ防護器)
- 停電:UPS(無停電電源装置)
- 故障:代替機、切替え方法
- 盗難・紛失:鍵保管、鎖、悪意利用防止機能、パスワードの方法、遠隔消去機能
- データ
- 漏洩:個人情報や技術データなどの機密データが不正に外部に持ち出されること
アクセス管理、データの暗号化、紙での情報の管理
- 破損・紛失:ファイルが無意味なデータに置換される。ファイルが消去される。保管場所が見つからなくなるなど
アクセス管理、バックアップ、誤操作防止
- 改ざん:不正にデータのある部分が追加、削除、変更されること
アクセス管理、データの暗号化、誤操作防止
アクセス管理では、IDやパスワードでアクセスできる利用者を特定する。他人のIDやパスワードを取得してアクセス権を持つように見せかけることを「なりすまし」という。
- システム
- 誤作動:構成ハードウェアの部品が故障したり、ソフトウェアにバグがあるために発生するトラブル
機器の異常検出機能、保守体制、ソフトウェアのテスト強化、バックアップ体制
- 誤操作:正規の利用者が誤って不適切な命令やデータを入力したために発生するトラブル
入力メッセージのチェック
- 不正アクセス・妨害行為:悪意のある攻撃。内部不正もある。
不正アクセス対策(DoS攻撃対策)
リスク分析(risk analysis)
リスクの特質を理解し,リスクレベルを決定するプロセス。
リスク分析の意義は,必要に応じてリスクのレベルを含め,リスクの性質及び特徴を理解することです。リスク分析には,不確かさ,リスク源,結果,起こりやすさ,事象,シナリオ,管理策及び管理策の有効性の詳細な検討が含まれます。
大きな不確実性、意見の不一致などに関しては文書化し意思決定者に伝達します。
リスク評価(risk evaluation)
リスクの発生確率と発生時の被害からリスク基準を定義しておきます。
個々のリスクの大きさを評価し、受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較します。
リスク対応(risk treatment)
リスクに対処するための選択肢を選定し,実施することです。リスク対応の選択肢の選定、リスク対応計画の準備及び実施などのプロセスです。
(以下の事項は、JIS本文では直接な記述はありません。)
一般に、リスク対応として、リスク受容(保有)、リスク回避、リスク移転(転嫁)、リスク軽減(低減)の4つが挙げられています。
- リスク受容(保有)
- 管理策を講じない、起こっても仕方がないという対応。想定したリスク値が受容できる範囲内である、または、リスク対策コストが高く対応を講じることができない場合に適用する。
社外とのメール交換を認める、想定値以上の地震対策はしないなど
受容されたリスクは,モニタリング[監視]及びレビューの対象となる。
リスク対応で「保有」の方策が採られたものや、リスクアセスメントによって特定できていないものなど、リスク対応の実施後も何の対策も立てられずに組織内に内在しているリスクを残留リスクといいます。
- リスク回避
- リスクの発生する可能性のある環境からの回避を中心に、保管中漏えいのリスクをもつデータの廃棄・隔離(リスク軽減が確率減少なのに対してリスク回避は確率を0にする)
リスクの高い事業・業務からの撤退、個人情報をネットワークから隔離など
- リスク移転(転嫁、共有)
- 保険加入により、インシデント発生時の損失補填。業務の外部委託によるリスクの委託先への移転など
- リスク軽減(低減)
- リスクがインシデントになる確率を下げること、あるいは、インシデントになったときの損失を最小限に抑えることにより「リスクの大きさ」を小さくするために、情報セキュリティ対策(後述)などの管理策を講じること。
ウイルス対策ソフトの導入、従業員へのセキュリティ教育など
機会リスクへの対応
上の4つはセキュリティすなわち脅威の視点ですが、リスクには機会(好機)の視点もあります。PMBOKでは、次のように分類し、それぞれの対応戦略を示しています。
脅威への対応 機会へのリスク
回避 活用 機会を確実にするために不確実性を除く
転嫁 共有 アウトソーシングの考え方
軽減 強化 好機の発生確率を上げる
受容 受容 脅威・機会の両方がある
- 活用:好機が確実に到来するようにすること。能力の高いチーム人選などによる期待以上の品質。コスト低下、納期短縮などです。
- 共有:好機をとらえることのできる組織に、好機を実行する権限を割り当てること。ジョイントベンチャや社内ベンチャ(プロジェクトが成功したら、その経営を任せる)などです。
- 強化:好機の発生確率やプラスの影響を増加させること。チャンス時での資源の追加投入、シナジー効果を狙った範囲拡大などです。
- 受容:積極的な利益追求はしないが、好機実現時には逸することなく利益享受をすること。ハードウェアの価格低下、新技術の出現に即応することなどです。
リスク対策には、事前対策及び事後対策、更に事後対策は緊急時対策及び復旧対策に分類されますが、JISQ31000 においてはリスクを組織が達成目標とするものに影響を与える可能性があるものと捉えているため、事後対策は除外されています。
リスクコントロール、リスクファイナンス
リスク対応を、リスクコントロールとリスクファイナンスに分類することもあります。
リスクコントロール
リスクコントロールとは、大きなリスクになるのを防ごうとすることです(発生確率の低減、発生時損失の低減)。
- 回避
- リスクが起こりそうな状況を避けることです。損失制御(低減)とは異なり発生確率を減らすのではなく、0にすることが目的です。トラブルを避けるためにSNSを開設しないとか、重要な情報を取扱っているコンピュータを社外インターネットとは完全に切り離すなどがこれにあたります。
- 損失制御(低減)
- リスクがインシデントになる確率を下げること、あるいは、インシデントになったときに損失を最小限に抑えること。ファイアウォールの設置により不正アクセスを防止することや、ウィルス感染になったパソコンをネットワークから隔離することなどがあたります。情報セキュリティ対策を狭くとらえれば損失制御になるともいえます。
- 分離
- 損失の対象を分離することにより、インシデントが発生する確率は大きくなるが、インシデントの影響を小規模に抑えることができます。1台のサーバに多様な機能を持たせるとダウンしたときの影響が大きいので、多数のサーバで分担することなどがあたります。損失の期待値は同じですが、一度の損害が小さいので扱いが容易になります。
- 結合
- 逆に類似のリスクをまとめることにより管理を容易にすることです。たとえば、分散している多くのサーバを情報システム部門に集中設置することにより、専門家による管理を行うことができます。これも損失の期待値を減らすものではありません。
リスクファイナンス
リスクファイナンスとは、インシデントが発生したときの大きな経済的損失を補填することです。当然そのための費用はかかるし、その費用のほうが高いのがむしろ通常ですし、すべての損失を補填するとはかぎりません。これらは、通常の情報セキュリティ対策の補完的な位置づけであるといえます。
- 保険
- もっともわかりやすいのは保険です。これは説明の必要はないでしょう。災害による情報システムの被害に対する保険や個人情報漏洩に対する保険など情報セキュリティ関連の保険もあります。
- 保有
- インシデントが起こったときのために引当金や積立金を設定しておくこと。受容リスクとして諦めるのも広い意味での保有であるといえます。
- 移転(転嫁)
- 損失を他人の責任にすること。たとえば、サーバの運営をアウトソーシングすることにより、サーバにインシデントが発生したとき、社外への責任は免れないとしても、インシデントそのものの損害を業者に移転することができます。
回避が業務をやめるのに対して、移転は業務そのものは行うが他者に実行させる違いがあります。
情報セキュリティ対策(リスク低減策)
- 物理的セキュリティ対策
情報資産に対する物理的な不正アクセス、災害、盗難、損傷、妨害などを防止するためのセキュリティ対策です。
・コンピュータ(サーバ、パソコンなど)や通信装置の保護
・SPD(Surge Protective Device、避雷器、サージ防護器)の設置。雷など異常電流かか機器を守る
・UPS (Uninterruptible Power Supply, 無停電電源装置) の設置。停電時に一定時間電力を供給し機器の停止を防ぐ
・情報資産の施錠管理(施錠付きのロッカー等に情報資産を保管する)
・アクセスできる区域の制限。ゾーニング(セキュリティレベルに応じて区域を分け、物理的に分離する)
・IDカード、バイオメトリクス認証、監視カメラなどを用いた入退室管理
・クリアデスク/クリアスクリーン(デスク上に不要なものを残さない/画面上に不要なものを表示したままにしない)
・訪問者や情報資産の受け渡し業者の管理
・情報資産の安全な処分または再利用
- 技術的セキュリティ対策
情報技術を利用して情報資産を保護するセキュリティ対策です。
・主体認証(IDとパスワード、IDカード、指紋などによる利用者認証)
・アクセス制御
・権限管理
・ログ管理
・暗号技術の利用
・認証技術(ディジタル署名、メッセージ認証、タイムスタンプなど)の利用
・通信データの暗号化(SSL、IPsecなど)、電子メールの暗号化(S/MIMEなど)
・ファイアウォール、DMZ(非武装地帯)
・コンテンツフィルタ
・ウイルスなどの不正プログラム対策
・ぜい弱性対策(セキュリティホール対策)
・サービス不能攻撃対策(DoS / DDoS攻撃対策)・通信データの暗号化
- 人的セキュリティ対策
人による誤り、盗難、不正行為、システムの誤操作・誤用など、人が原因で発生する事故・事件を防止するためのセキュリティ対策です。
・情報セキュリティポリシ、各種社内規定、マニュアルなどの遵守
・情報セキュリティに関する意識向上、教育・訓練
・アクセス権の設定などのアクセス管理
・機密保持契約(例:雇用契約書、誓約書、就業規則等で守秘義務条項を明示する)
・懲戒手続(例:セキュリティ違反時における懲戒手続を就業規則や誓約書に明示する)
・雇用終了後における情報資産の返却、アクセス権の削除
- 組織的セキュリティ対策
技術的セキュリティ対策、物理的セキュリティ対策、人的セキュリティ対策を、組織として体系的に管理し、実施し、維持するためのセキュリティ対策です。
・情報セキュリティのための組織体制づくり
・情報資産に対する責任、分類
・情報資産の持ち出し管理(例:管理者の許可のない情報資産の持ち出しを禁止する)
・情報セキュリティインシデントの管理
・事業継続管理
・コンプライアンス、内部監査、内部統制
モニタリング及びレビュー
モニタリング及びレビューの意義は,プロセスの設計,実施及び結末の質及び効果を保証し,改善することです。プロセスの全ての段階で行うことが望まれます。