top of page

リスクアセスメントの実施方法

 組織全体として適切な情報セキュリティ対策計画を立案するには、まず、組織全体としてどのような情報資産があるかを把握し、その情報資産のリスクアセスメントを実施した上で、その結果に基づき実施すべき情報セキュリティ対策を決定することが重要であると言われていますが、この情報資産のリスクアセスメントの実施方法について実務面で具体的にどのように行うべきかについて書かれた書籍はほとんどありません。

 情報資産のリスクアセスメントの理論について述べられた本は、ある程度出版されていますが、それを実務面で具体的にどのように実施するかついては、海外の書籍を含めてほとんど無いと言って良いと思います。私はこれまで情報資産のリスクアセスメントを実施するにあたって参考となる書籍を捜しましたが、そのような書籍は日本ではほとんど見つけることができませんでした。海外の書籍でリスクアセスメントハンドブックとかいうタイトルの本を見つけましたが、やはりリスクアセスメントの理論が中心で、実務面でどのようにすべきかについては、様々な実施方法があり個々の組織の実情に合わせて行うべきということが記載されているのみで、具体的な方法論までは記載されていませんでした。

 私の所属していた組織でも、情報資産のリスクアセスメントの具体的な実施方法がわからなかったため、リスクアセスメントの実績豊富なコンサルティング会社と契約し、リスク分析シート、リスクアセスメント実施手順などを作成してもらう契約を締結しましたが、個々のリスクを評価するにあたっての明確な評価基準は示されないなど、満足のいくものはできませんでした。リスクアセスメントの研修も行なっている会社で、リスクアセスメントの実績も多くあるのですが、コンサルタントの経験と勘によってリスクアセスメントを実施してきたようで、各情報資産のオーナーが実務面で最低限度、同じ尺度で評価できるようにするためには、私どもで個々の評価基準を作成して行く必要がありました。このような状況ですので、全く経験のない方が組織全体のリスクアセスメントを主導して行うのは極めて困難であり、そのため、ほとんどの組織では一部の重要なシステムに対するリスクアセスメントは実施しているとしても、組織全体の情報資産のリスクアセスメントを実施しているところは極めて少ないものと思われます。

 従って、私と同じようにリスクアセスメントを実施するに際し、どのように行うべきかついての情報を求めている方も多いのではないかと思い、私の経験に基づき、どのようにリスクアセスメントを実施すれば良いかについて、述べたいと思います。ここで紹介するリスクアセスメントは、多くのリスクアセスメントの手法の中のごく一部に過ぎず、厳格なリスクアセスメントを実施する必要のある方には適していませんが、初めてリスクアセスメントを実施する方にとって一つの参考になると思います。

 構成は以下の通りです。

第1章 リスクアセスメントの概要

 1.リスクアセスメントとは

 2.様々なリスク分析方法

 3.リスク値の計算方法

 4.定性的評価と定量的評価

 5.リスクの構成要素(リスク因子)

第2章 リスクアセスメントの準備

 1.スコープ(対象範囲、アセスメントアプローチ)の決定

 2.誰が主体となって行うのか

 3.リスク評価手法の決定

 4.リスク値の計算方法の決定

 5.リスク許容度の決定

第3章 リスクアセスメントの具体的実施方法

 1.情報資産台帳の作成

 2.リスク分析を行う単位での情報資産のグループ化

 3.脅威源及び脅威事象の特定と評価

 4.各脅威に対する脆弱性の特定と評価

 5.脅威と脆弱性の評価結果からの発生可能性の算出

 6.リスク値の算出

 7.リスク許容度

 8.リスク対応

第4章 保存形態毎に想定される脅威と脆弱性及びその評価方法

 1.文書で情報を保存している場合

  1.1.内部職員を脅威源とする脅威とそれに関する脆弱性

  1.2.外部委託先、情報提供先を脅威源とする脅威とそれに関する脆弱性

  1.3.外部の攻撃者を脅威源とする脅威とそれに関する脆弱性

  1.4.環境を脅威源とする脅威とそれに関する脆弱性

 2.電子媒体(共有ファイルサーバ)で情報を保存している場合

  2.1.内部職員を脅威源とする脅威とそれに関する脆弱性

  2.2.外部委託先を脅威源とする脅威とそれに関する脆弱性

  2.3.外部の攻撃者を脅威源とする脅威とそれに関する脆弱性

  2.4.環境に起因する脅威、システム構成要素に起因する脅威とそれに関する脆弱性

 3.電子媒体(スタンドアロンPC)で情報を保存している場合

  3.1.内部職員を脅威源とする脅威とそれに関する脆弱性

  3.2.外部委託先を脅威源とする脅威とそれに関する脆弱性

  3.3.外部の攻撃者を脅威源とする脅威とそれに関する脆弱性

  3.4.スタンドアロンPCの環境を脅威源とする脅威とそれに関する脆弱性

  3.5.スタンドアロンPCの構成要素を脅威源とする脅威とそれに関する脆弱性

 4.情報システムの場合

  4.1.内部の者を脅威源とする脅威とそれに関する脆弱性

  4.2.外部の攻撃者を脅威源とする脅威とそれに関する脆弱性

  4.3.環境を脅威源とする脅威とそれに関する脆弱性

  4.4.システム構成要素を脅威源とする脅威とそれに関する脆弱性

​第1章リスクアセスメントの概要へ

© 2023 by SecurityLearning. Proudly created with Wix.com

bottom of page