情報セキュリティはどこから取り組めばいいの?リスクアセスメントの重要性

情報セキュリティはどこから取り組めばいいの?リスクアセスメントの重要性
2024.12.16

近年情報セキュリティの重要性は増しており、様々な業界で取り組みを強化する動きが加速しています。しかし、情報セキュリティと言っても範囲は広く、ネットワークを守る製品からスマートフォンを守る製品まで様々な種類があります。自社にどんなセキュリティリスクがあるかわからず、どの製品を導入したら良いか悩んでいる方も多いのではないでしょうか。そんな時に実施していただきたいのがリスクアセスメントです。このコラムでは、情報セキュリティのリスクアセスメントについて解説します。

セキュリティ無料相談

目次

リスクベースアプローチとルールベースアプローチ

リスクを管理する考え方としてルールベースアプローチとリスクベースアプローチというものがあります。ルールベースアプローチとは、まずルールを定めてそれを遵守することでリスクの低減を図るものです。ルールベースアプローチは一見すると良い方法に見えるのですが、大小さまざまなリスクに対して網羅的に対策を行うことになります。これはコストやリソースが十分でない企業にとって負担が大きく、リスク管理が失敗する原因にもなります。そこで注目されているのがリスクベースアプローチです。これは、リスクの大小を評価し優先順位を決めて管理を行う考え方でコストやリソースが十分でない場合でも効率的にリスク管理が行えるものになっています。

リスクアセスメントとは

リスクアセスメントとはリスクベースアプローチの根幹となる考え方で「リスクの特定」「リスクの分析」「リスクの評価」の3つのプロセスから構成されるリスクを発見しその大きさを評価するプロセスです。もともとは安全工学の言葉ですが、情報セキュリティの分野でも使われています。
※リスクアセスメントについては文献によって対象範囲に差がありますがこのコラムではISO 31000に記載されているリスクマネジメントのサブプロセスであるリスクアセスメントについて解説しています。

情報セキュリティにおけるリスクアセスメントの重要性

情報セキュリティはとにかくセキュリティ対策製品を入れれば良いと思われる方がいるかもしれませんが、セキュリティ対策製品を導入することは必ずしも必須ではありません。まずは、自社の状況を知り、本当に対策が必要なのか検討を行う必要があります。その「自社の状況を知る」プロセスがリスクアセスメントにあたります。リスクアセスメントを実施せずにセキュリティ製品を導入すると、過剰な対策をしてコストがかさんでしまうことや逆に対策製品を入れたつもりが防御できていない箇所がある可能性もあります。次の章からはリスクアセスメントの流れに沿って実際にどのようなことをするのか解説します。

リスクの特定

最初のステップはリスクの特定です。「リスクの特定」は国際規格のISO31000で「組織の目的の達成を助ける、又は妨害する可能性のあるリスクを発見し、認識し、記述することである」と定義されています。簡単に言えば自社にどのようなリスクがあるかを洗い出すプロセスです。

また、訓練の都度、詳細なフィードバックを提供し、各従業員の弱点や改善点を明確にすることで、学習効果を高めることができます。繰り返し行うことで、疑似的な攻撃メールを見分ける能力が組織全体で徐々に向上し、セキュリティ意識の文化が根付いていきます。

情報資産の洗い出し

リスクの特定でまずやるべきことは、自社の情報資産を洗い出すことです。情報資産とはIPA(情報処理推進機構)によると「企業として管理すべき対象として選択された情報」と定義されています。簡単にいえば企業にとって価値のある情報で次のようなものがあげられます。

・顧客情報
・製品情報
・従業員情報
・財務情報
・事業計画
・取引先情報
・ノウハウ
・情報システムのID、PW など

これらの情報を洗い出しますが、業務フローや製品ライフサイクルなどから各場面でどのような情報が使われているか確認を行うと抜けもれなく洗い出しを実施することができます。情報資産を洗い出したら、管理者やアクセス権、保存場所などとともに台帳に整理しましょう。これを行うことで守る対象を明確化し、効率的に対策を行うことができるようになります。情報処理推進機構(IPA)では中小企業向けにリスクアセスメントに使える「リスク分析シート」のエクセルサンプルを公開しています。こちらも参考にされると良いと思います。
IPA:中小企業の情報セキュリティ対策ガイドライン 「付録7:リスク分析シート(全7シート)」
https://www.ipa.go.jp/security/guide/sme/about.html

IT資産管理ツールの活用

IT資産管理はリスクの洗い出しにおけるはじめの一歩です。企業がITリソース把握し、潜在的なリスクを効果的に特定・軽減する重要な手段として位置づけられます。

ハードウェア、ソフトウェア、ネットワークデバイスなどの資産を一元的に管理することで、未登録のデバイスや古いソフトウェア、セキュリティパッチが不足しているシステムといったリスクポイントを迅速に特定できます。これらのツールは資産のライフサイクル全体の情報を提供し、資産の状態、利用状況、セキュリティ状況を継続的に監視することができます。

コンプライアンスや財務的な観点からも、IT資産管理ツールは重要な役割を果たします。監査証跡の作成、資産使用状況の記録、不要な投資の防止、リソース配分の最適化を支援します。
ALSOKでは、セキュリティパッチの適用状況やソフトウェア一覧などを一元的に管理できるIT資産管理ソフト ISM Cloudoneを提供しています。

情報資産に対するリスクの特定

次に情報資産に対するリスクの洗い出しを行ってリスクを特定します。
例えば、「顧客情報」という情報資産をノートパソコンで保存しているとして、この場合のリスクを考えてみましょう。ノートパソコンは社外に簡単に持ち出せるため、紛失して顧客情報が流出するリスクがあります。また、インターネットにつながっている場合、ウイルス感染などで情報が流出するリスクもあります。このように情報資産に対してどのような事故や事件が起こり得るか列挙し整理していきます。
リスクの特定は1人で実施すると抜け漏れがある場合があるため複数人で行うことが理想です。ブレインストーミング方式や既存のチェックリストを使うことなども抜け漏れを防ぐために有効です。

リスクの分析

リスクの特定を行った後は、洗い出したリスクを分析します。リスクの分析とはリスクに対し評価軸を設定して各リスクがどの程度深刻なものなのか評価値を決定するプロセスです。評価値はこの後の「リスクの評価」で各リスクに優先順位をつける際に指標となるものです。安全工学では、一般に「危害の酷さ」と「危険の発生頻度」を評価軸としてリスクに評価値を設定します。情報セキュリティでは「資産の重要度」と「発生可能性」を軸とすることが多いです。
「資産の重要度」とは、リスクが発生したときに企業の活動に与える影響の大きさです。企業活動への影響が大きいほど高く、影響が小さければ低く評価します。

例:漏えいすると取引先や顧客に大きな影響がある  評価値3
  漏えいすると事業に大きな影響がある      評価値2
  漏えいしても事業にほとんど影響はない     評価値1

「発生可能性」とは、そのリスクによって被害が発生する可能性の高さです。発生する可能性が高いほど高く評価します。

例:いつ発生してもおかしくない    評価値3
  1年に一度程度発生する      評価値2
  めったに発生しない        評価値1

「資産の重要度」と「発生可能性」をそれぞれ評価値を決めた後、その二つを掛け合わせた数値(リスク値)を求めます。
例えば顧客の個人情報をUSBメモリに保存して持ち歩いている場合を考えます。顧客の個人情報なので「資産の重要度」は3、紛失対策をせずにUSBメモリを持ち歩いている場合、いつ紛失してもおかしくないので「発生可能性」は3となります。この二つを掛け合わせてリスク値は9となります。このように洗い出したリスクすべてに対してリスク値を求めます。リスク分析についても先ほど紹介したIPAの「リスク分析シート」にテンプレートがついていますので活用するとリスク分析をかなり楽に行うことができます。

リスクの評価

リスクの分析を行った後は、「リスクの評価」を行います。リスクの評価とはリスク分析の結果をもとにリスクに対する対策を行うか行わないか判断するプロセスです。セキュリティ対策製品を導入するかどうかの判断を行うのもこのプロセスです。
リスク分析でリスク値が高かったものについては優先的にセキュリティ対策を行う必要があります。一方でリスク値の低いものについてはセキュリティ対策を行っても効果が薄い可能性があります。どこまでセキュリティ対策を行うかについては予算や経営層の意向がかかわってくるため一概には言えませんが、関係各所とコミュニケーションを取りながら対策を行うリスクと行わないリスクを選別します。
セキュリティ対策を実施するものについては対策を実施した場合のリスク分析を再度行いリスク値が許容できる範囲まで低減されているか確認しましょう。

まとめ

情報セキュリティリスクアセスメントの概要について紹介しました。情報セキュリティ対策製品を導入する前にリスクアセスメントを実施してその対策が本当に必要か考えてみることで効率的にセキュリティ対策が行えます。自社にとってどんな対策が必要か悩んでいる方はぜひ一度実施することをお勧めします。

セキュリティ無料相談