ISMS(情報セキュリティマネジメントシステム)の計画段階では、まず「リスク」の洗い出しから始める。
このリスクは「情報セキュリティ事故が起こる可能性」とも言え、次のような条件が揃った時に顕在化する。
コンテンツ
リスクが顕在化する条件
価値のある情報資産
そもそも価値のある情報資産がなければ、リスクを考える余地はない。
脅威
損害を与える要因となるような、情報資産に対する脅威。
例えば、紙媒体の書類ならば「火」、PCであれば「マルウェア」などが脅威にあたる。
脆弱性
情報セキュリティ上の欠陥や弱点が脆弱性にあたり、脅威を受け入れてしまうものを指す。
例えば「マルウェア」を受け入れる脆弱性として、ウイルスソフトの未導入が挙げられる。
リスクと損失
リスクが顕在化した時に、次のような損失が発生する。
財産損失
設備や情報機器の故障・盗難などによる損失
責任損失
賠償責任による損失
純収益の損失
信用の失墜などにより収益が減少して発生する損失
人的損失
役員、従業員などが業務に従事できなくなることによる損失
組織に潜むリスク
情報セキュリティのリスクは、組織の内部だけに留まらず、外部にも存在する。
特に近年では、SNSによる情報発信のリスクが新たに生まれている。
オペレーショナルリスク
内部犯による情報漏洩など、自組織の業務活動に関連するリスク
サプライチェーンリスク
サプライヤーから納入される情報システムなどに関連するリスク
※納入されたシステムに意図しない機能が実装されていたなど
外部サービス利用のリスク
外部サービスを利用した際にウイルスに感染する、などのリスク
SNSによる情報発信リスク
不適切な発言による炎上など、SNSに関連するリスク
リスクアセスメント・リスクマネジメント
リスクを特定し、分析、評価する一連のプロセスを「リスクアセスメント」と言い、評価されたリスクに対応したり受容したりする一連のプロセスを「リスクマネジメント」と言う。
なお、リスクマネジメントは「ISO 31000」として国際標準化され、日本では「JIS Q 31000」としてJIS化されている。
リスクアセスメントを行うことで「組織やシステムにどんなリスクが潜んでいるか」を明確にでき、限られた予算の中で最大の効果を出せるような情報セキュリティ対策の計画につなげることができる。
リスクアセスメントの手法
1. 情報資産の洗い出しと価値の算定
まず情報資産を特定し、機密性・完全性・可用性の観点から重要性を明確化する。
2. 脅威の洗い出し
情報資産に対する脅威を洗い出す。
その際、物理的・技術的・人的それぞれの要因から網羅的に検討する。
3. 脆弱性の洗い出し
脅威に対し、物理的・技術的・人的な要因から存在する脆弱性を洗い出す。
4. リスクの洗い出し
情報資産・脅威・脆弱性の関係性を分析し、考えられるリスクを洗い出す。
5. リスクの評価
リスクの評価手法は、定量的、定性的の大きく二つに分けることができる。
定量的リスク分析手法は、リスクの大きさを金額で評価する手法で、客観的な金額で評価を行うことができれば、リスク対策費用を見積もる上で有用だが、金額で見積もることが難しいリスクもあるので手法として完全に確立されたものではない。
定性的リスク分析手法は、リスクを金額以外(情報資産の重要性や脅威の大小など)で表す手法で、知識や経験の少ない評価者でも比較的評価がしやすい手法だ。
しかし主観も混じりやすいので、対象となる業務やシステムに詳しい人がレビューするなど、適切な対応が必要である。
リスク受容基準
評価されたリスクには、適切な手法で対応する。
ただし、洗い出されたリスクの全てを無くす事は現実的に不可能で、リスクを減らせば減らすほどかかる費用は大きくなる。
そこで、どの程度のリスクであれば組織として受容できるかの基準を明確にする必要がある。
これをリスク受容基準と言い、組織の責任者が費用対効果を考慮しながら、受容できるリスクの水準を決定する。
リスク対応
リスクの評価結果に基づき、情報セキュリティを維持するための具体的な対策を決定する。
その際、損失の発生を防止、軽減するための手法を「リスクコントロール」と言い、損失が発生した場合の損失を補填するための手法を「リスクファイナンシング」と言う。
また、再発防止のためにも、被害状況の調査手法を定め文書化しておくことも大事だ。