Creation of business with you.

ISMS認証取得コンサルティング

  • HOME »
  • ISMS認証取得コンサルティング

効率のよいリスクアセスメント

ISMSの構築で、多くの方がリスクアセスメントに苦労をしています。

そこで、効率のよいリスクアセスメントを紹介します。
よく行われているリスクアセスメントは、まず、情報資産を洗い出し、各情報資産ごとにリスク値を算出する方法です。この方法は、一見分かりやすいのですが、情報資産の数が多くなると膨大なものになってしまいます。しかも、同じことが多くの情報資産で繰り返されるという状況になってしまいます。
なぜ、同じことが繰り返されるのか。それは、情報の内容によってリスクが異なることはほとんどないためです。
では、リスクは何に依存するのかと考えると、それは、情報を保管したり、取り扱っているもの、具体的には、サーバにある情報なのか、媒体に保存されている情報なのか、あるいは、移送する情報なのかによってリスクが決まります。
顧客情報であろうが、技術情報であろうが、サーバの中にあるのであればリスクは同じ。不正アクセス、ウィルス感染などといったリスクは情報の内容に依存するものではありません。
(情報の内容によって変わるものは、法令上の要求がある場合です。個人情報であれば取得にあたり、利用目的の通知、公表は必要になります。これらはリスクアセスメントをやるまでもなく決まっているものです。)

資産目録

情報と、情報機器/媒体、移送方法との関係ををマトリックスで表します。

情報機器/媒体をどこまで、細かく分けるかですが、例えば、デスクトップPCとノートPCとを分けすなど。細かくしようとすればキリがありません。極端な話、PCひとつづつリスクが異なります。製造年によっても、また、使う人によってもリスクが異なります。そもそも、数値によるリスクアセスメントはそれほど精度のよいものではありませんので、あまり細かく分けない方がよいでしょう。

リスク算出方法

リスク値の求め方は次のようにします。
資産価値は、1,2,3の3段階とします。
脆弱性は1,2,3の3段階とします。
リスク値=資産価値×脆弱性 とします。

脅威と脆弱性

よく、脅威値を発生頻度でレベル分けし、リスク値=資産価値×脅威×脆弱性とするケースが見られます。
しかし、脅威の発生頻度は対策の程度、すなわち、脆弱性により変わることが多く、その場合、脅威と脆弱性を分ける意味がなくなります。
例えば、盗難の発生頻度は対策の程度により異なります。一方、地震の発生頻度は対策の有無に依存しません。
そこで、地震の場合は、地震で壊れる頻度と考えることとし、リスク値は資産価値と脆弱性だけで求めるようにします。

リスク受容可能レベル

リスク受容可能レベルは5とします。
理由:資産価値が最も高いものに対しては脆弱性を最小にする対策をとることとし、そのリスク値は3×1=3となります。逆に、許容できないものは3×2=6の場合です。そこで、5以下を受容可能レベルとします。
リスク値と受容可能レベルとの関係は次のようになります。

リスクアセスメント・その1

リスクアセスメントの例

リスクアセスメントは情報機器/媒体、移送の方法に対して行います。
次は、機密性3のPC及び機密性3の電子的移送の例です。
情報機器/媒体の資産価値はその機器に保管される、あるいは取り扱われる情報の価値の最大のものとします。

簡略化

このような表がいくつできるかと言うと、機器/媒体、移送は、この例では6種類、資産価値の種別が3種類、資産価値のレベルが3段階とすると、6×3×3=54コということになります。
しかし、実際にやってみると、かなり共通の部分が出てきます。その主な原因は、資産価値のレベルによって異なるところが少ないためです。資産価値が低いものに対しては対策を緩めることができます。しかし、現実に緩めることができる対策はあまり多くありません。「資産価値が低いからウィルス対策を緩める」などということはあり得ないからです。緩めることができる対策は概ね、次のようなものです。
① 普通郵便か書留か
② 常時施錠か不在時施錠か
③ ID・パスワードだけか、多要素認証か
④ 暗号化すべきか
そこで、リスクアセスメントは資産価値のもっとも高いものに対して行い、資産価値が低いことによる対策の緩めは非形式的アプローチ(リスク値を求めるのではなく、専門家の経験から必要な対策を決定する)により決めるというのが現実的な方法であると考えられます。
そうすることにより、表は54コから18コに減ります。
完全性と可用性は似ています。そこで、完全性・可用性を一緒にすれば12コにまで減ります。
完全性と可用性は全く同じではありませんが、壊れることによって読めなくなるという場合には、完全性、可用性共に損なわれます。
一方、壊れてはいないがアクセス集中により読めなくなるという場合は完全性は損なわれていないが、可用性は損なわれます。
これも、どこまで詳細にやるかの問題です。
完全性をさらに細かく、無規則に壊れた場合と、意図的な改ざんとに分けて評価する方法もあります。
壊れ方によって事業に与える影響の大きさが異なります。
数値によるリスクアセスメントはそれほど精度のよいものではありませので、あまり、細かくしない方がよいでしょう。
微妙なところは、非形式的アプローチにより補正するのが適切です。

ベースラインアプローチ及び非形式的アプローチによる補完

今まで、機器・媒体はサーバ、PC、電子媒体、紙の4種類に対してリスクアセスメントを行ってきましたが、他にも、プリンタ、デジカメなどの機器類にもリスクがあります。これらに対してはベースラインアプローチ及び非形式的アプローチにより必要な対策を補完します。具体的にはISO/IEC27002に記載された対策から、(リスク値を求めずに)必要な対策を追加します。例えば、A.11.2.9として、セキュアプリントの機能を追加するなど。
他にも、これまで考慮しなかった脅威への対策や法的な要求事項への対応などもベースラインアプローチ及び非形式的アプローチにより追加します。
これらの補完は実際のルールを作成するときに行います。

リスクアセスメント・その2

ISO/IEC27001の管理策と脅威との関係をマトリックスで表現することによって、網羅性のあるリスクアセスメントが可能になります。
資産目録、リスク値算出法は上と同じです。
下図は機密性3のPCのリスクセスメントの例です。縦方向にISO/IEC27001の管理策を並べ、横方向に脅威を配置しています。
こうすることにより、網羅性のあるリスクアセスメントが可能になります。
とは言っても、すべての脅威を挙げているわけでもありませんし、上に挙げた以外の機器・媒体もあります。従って、リスクアセスメント・その1と同様、ベースラインアプローチ及び非形式的アプローチによる補完が必要です。

付録

下図は、リスクアセスメントのやり方によって、結論がひっくり返ってしまう例です。
リスク値って、何なんでしょうか?

  • facebook
PAGETOP
Copyright © Career Management Inc. All Rights Reserved.