このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第1章 リスクアセスメントの概要
1.リスクアセスメントとは
2.様々なリスクアセスメントアプローチ
3.リスク値の計算方法
4.定性的評価と定量的評価
5.リスクの構成要素(リスク因子)
1.リスクアセスメントとは
リスクアセスメントとは、組織が業務活動を行うに際してどのようなリスクを保有しているかを明らかにし、そのリスク評価結果を基にセキュリティ戦略、計画を決定するための重要な判断ツールです。
リスクアセスメントが正しく行わなければ、組織が直面するリスクを正しく認識できないばかりか、投資判断は恣意的なものになり、最も重要なリスクに対する対処がなされなかったり、あまりリスクのないものに対して過大な資源が投入されたりすることにもなります。
監査などは定められた基準などとのギャップを特定するのみで、どれに優先順位があるのか、ギャップを埋めるのにどのくらいの投資をするべきか、正当化することができません。また、レギュレーションやポリシー、基準が最新の脅威を考慮したものでなければ、組織全体として最新の脅威にさらされることになる上、ほんとうに必要なものに対して十分な投資をできないことになります。
それに対してリスクアセスメントでは最新の脅威にも対応することができ、組織の直面するリスクに応じた適切なセキュリティ対策を機動的に決定することができます。
2.様々なリスクアセスメントアプローチ
独立行政法人情報処理推進機構(以下、「IPA」という。)のウェブサイトの記事「情報セキュリティマネジメントとPDCAサイクル」によれば、リスク分析の方法については、現在様々な手法が提案されており、リスクは、業界や業務によって大きく異なるため、デファクトスタンダード的なリスク分析手法はなく、適宜、自組織にあった方法でリスク分析を行っているようです、と記載しています。また、4つのリスク分析方法について、それぞれの長所と短所とともに以下のように紹介しています。
(1)ベースラインアプローチ
既存の標準や基準をもとにベースライン(自組織の対策基準)を策定し、チェックしていく方法。簡単にできる方法であるが、選択する標準や基準によっては求める対策のレベルが高すぎたり、低すぎたりする場合がある
(2)非形式的アプローチ
コンサルタント又は組織や担当者の経験、判断によりリスクアセスメントを行う。
短時間に実施することが可能であるが、属人的な判断に偏る恐れがある。
(3)詳細リスク分析
詳細なリスクアセスメントを実施。情報資産に対し「資産価値」「脅威」「脆弱性」「セキュリティ要件」を識別し、リスクを評価していく。
厳密なリスク評価が行えるものの多大な工数や費用がかかる
(4)組合せアプローチ
複数のアプローチの併用。よく用いられるのは、(1)ベースラインアプローチと(3)詳細リスク分析の組合せ。ベースラインアプローチと詳細リスク分析の両方のメリットが享受できる。
ベースラインアプローチは、いわゆるGAP分析です。自組織でとられている対策がベンチマークとなる既存の標準や基準と比較してどうかということを評価する手法です。自組織の対策基準をベンチマークと比較すれば良いので、比較的コストと時間をかけずにリスクアセスメントを実施できるというメリットがあります。
それに対して詳細リスク分析は、情報資産ごとにどのような脅威や脆弱性があるかを分析し、各情報資産の重要度を勘案してリスクを評価するため、情報資産ごとに詳細にリスク評価ができる反面、多くのコストと時間がかかります。
一般的にベースラインアプローチは組織全体としてられている対策がベンチマークと比較して適切に設定されているかどうかを評価するのに使用されますが、ベンチマークとなる基準に記載されている管理策から、その管理策を満たしていないものを脆弱性として洗い出し、その脆弱性に関する脅威を明確にし、それらに関連する資産を関係付けるという方法もあるようです。この方法ですと重要な資産の見落としがある反面、ベンチマークとして使用する対策基準に記載して管理策をベースに脆弱性を洗い出すため、比較的、脆弱性の見落としも少ないということを、ある情報セキュリティリスク分析の研修セミナーでは説明していました。
しかし、組織全体で保有する情報資産や情報システムについては、それぞれの重要性や置かれている環境によって異なる取扱い(情報セキュリティ対策)が取られているのが現実であり、それらの取扱いが各々の重要性や環境に照らして適切なものかどうかを評価するためには、詳細リスク分析を行う必要があると思います。特に新たに発生した脅威に対してはそのリスクを評価した上で適切な対策を実施する必要がありますが、既存の標準や基準ではそのような新たな脅威に対する対策はカバーされていないこともありますので、適切なセキュリティ対策を実施する上で詳細リスク分析は必要と言えます。ただし、詳細リスク分析を実施するときに脅威や脆弱性を見落とす可能性はありますので、ベースラインアプローチの考え方をとりいれて、ベースラインとなる基準に記載されている管理策のリストから脅威や脆弱性を導き出すことは有効な方法だと思います。
IPAは、すべての情報資産に詳細なリスク分析を行うのは時間と費用がかかりすぎて現実的ではなく、その組織を守るためのベースライン(基本)となる管理策の組み合わせを決め、その上でよりリスクの高いシステムを保護するために、詳細リスク分析を追加することにより、組織がリスク分析に用いる費用を削減でき、より精度の高いリスク分析を行うことが可能になると説明しています。IPAの説明しているとおり、すべての情報資産に詳細なリスク分析を行うのは時間と費用がかかりすぎるため、よりリスクの高いシステムに対して詳細なリスク分析を行うのが現実的と言えます。ただ、詳細なリスク分析と言っても、どこまで詳細な分析が必要かについては対象とする情報資産や情報システムによって異なりますので、複雑で重要性の高い情報システムについては時間をかけて詳細なリスク分析が必要となりますが、情報資産のリスク分析については情報システムのリスク分析ほど複雑なものではなく時間もかかりませんので、各情報資産のオーナー(管理者)がそれぞれの情報資産を評価することにより、それほど時間をかけず実施することが可能ではないかと思います。同じ程度の重要な情報資産や情報システムに対して、部署によって異なる情報セキュリティ対策が実施されていることや、実施すべき対策が全く実施されていないこともあるため、情報資産毎、情報システム毎にある程度のリスク分析を行い、組織全体としてバランスのとれた情報セキュリティ対策を実施していくことが必要と思います。
本書では、詳細リスク分析とまではいかないまでも、情報資産毎、情報システム毎に各情報資産のオーナーや各情報システムのオーナーがリスク分析を行う場合の実施方法について紹介します。
3.リスク値の計算方法
リスクがどのくらいあるかと考えた場合、それは事故等が発生した場合にどのくらいの損失を被るのかということと、その事故等が発生する可能性がどのくらいあるかということによって決まると考えられます。
例えば、ある情報資産の漏えい事故による損失が4億円(ちなみに、Ponemon Instituteの2019 Cost of a Data Breach Report によると情報漏えいによる損失額の平均は3.92百万ドル)、その事故の1年間の間に発生する可能性が1%だと予想できれば、その情報資産の1年間の情報漏えいリスクは以下のよう400万円と計算されます。
4億円(予想損失額)×1%(発生可能性)=400万円
このようにリスクの値が計算できれば、その損失を小さくするために実施するセキュリティ対策も、リスクの大きさに比べて適切なものか、過大な投資となっていないかの判断が可能となります。
この情報資産の漏えい事故の発生可能性を0.1%(40万円のリスク)に低減させる(360万円のリスク低減)ための対策を実践するのに年間1,000万円もかかるのであれば、リスクの低減効果に比べ明らかに過大な対策であり、その対策を実施するより、400万円のリスクをそのまま受容する方が良いという判断になります。逆に対策の年間費用が100万円であれば、100万円の費用で360万円のリスクを低減することができるので、実施するべきという判断ができます。
4.定性的評価と定量的評価
上記のようにリスクの値を知ることにより、過大な対策をとることを避け、そのリスクに見合った適切な対策をとるという判断が可能になりますが、このように定量的に数値でリスクを計算することは容易ではありません。
地震の津波により原子力発電所が被害を受け、放射能が周辺地域に漏れることによる影響や損失額は非常に大きいものと予想されますがどのように見積もればいいのでしょうか。また、その発生可能性はどのように見積もればいいのでしょうか。不可能ではありませんが、その値を算出するのに非常に多くの時間や労力が必要となります。このように非常に重要なリスクについては、それだけ多くの時間や労力をかけても算出する必要がありますが、影響や損失額がそれほど大きくなく、評価する対象が非常に多い場合は、全ての情報資産一つ一つに多くの時間や労力をかけてリスク額を算出することは現実的には不可能です。
個々の事故等による損失額がそれほど大きなものでなく、リスクを算出すべき対象となる資産などが多数ある場合は、個々の正確なリスクの金額を知るよりは、多くあるリスクの中でどのリスクが相対的に高いリスクであるかを知ることができればよく、それにより優先的に実施すべき対象や対策が明らかとなります。このようにリスクの値を金額や発生可能性などの数値で評価するのではなく、相対的な大きさで評価する方法を定性的評価と呼びますが、情報資産のリスクアセスメントでは、このような事情から、定量的な評価ではなく定性的な評価が多く実施されているものと思われます。
以上のように、リスク評価の方法には定性的評価と定量的評価があります。
情報資産の損失額または影響度の評価方法では、その定性的評価の代表的なものは格付けによる評価であり、機密性の格付けであれば、1(公表情報)、2(内部情報)、3(秘密情報)のように格付けします。情報資産の損失額の定量的評価には、再調達コスト、市場価値、収益還元法によるものなどがあります。再調達コストとは、文字どおりその資産がなくなった場合にもう一度調達するとすればいくらの費用がかかるかにより評価する方法です。市場価値とは市場で取引される価格を基に評価する方法です。収益還元法とは、その資産が将来いくらの収益を生み出すかにより評価する方法で、将来産むと想定される収益を収益還元率(通常は市場利子率)で割ることにより算出されます。これは、資産がなくなった場合の価値に関する評価ですが、情報が漏洩した場合には、情報を提供した個人に対する損害賠償、事故調査対応費用、レピュテーション低下による将来の収益減少などの損失も見積もらなければなりません。
同様に発生可能性についても、定性的評価では1(低)、2(中)、3(高)というように相対的に評価するのに対し、定量的評価では一定の期間内(例えば1年以内)に発生する可能性が何%というように評価します。
定性的評価では、これらの相対的評価の値を掛け合わせ、その結果により、相対的なリスクの高いもの、低いものを識別します。定性的評価は多くの対象資産に対してリスク評価を実施し、個々の対象に対して多くの時間や労力を費やすことができない場合に適しており、相対的にリスクが高いと識別したものに対して優先してセキュリティ対策を実施、または強化します。
一つの対象資産に対して多くの時間や労力を費やすことが可能であり、正確なリスク評価を実施する必要がある場合は、定量的評価が適しています。一つのリスクに対して実施するセキュリティ対策がそのリスクに対して過大でないかを確認し、そのセキュリティ対策費用を正当化する必要があるような場合は、定量的評価を実施することが適しています。
5.リスクの構成要素(リスク因子)
リスクの大きさは、事故が発生した場合の損失や影響の大きさとその発生可能性によって決まりますが、損失額や発生可能性はどのように決まるのでしょうか。
5.1.損失額(影響度)の評価
まず、損失額については、対象となる情報資産が漏えいしたり、改ざんされたり、利用できなくなってしまうことにより、どのような影響があり、その影響によりどのような損失を被るか、ということにより損失の大きさを評価します。情報漏えい事故であれば、損害賠償額、事故対応費用等の直接的な費用の他、社会的信用失墜等による二次的損失があります。二次的損失の中には、ブランドイメージ低下による売上高の減少という影響もあれば、監督当局から業務停止処分を受けるという影響もあり、どのような影響があるか、よく検討、評価しなくてはいけません。
5.2.発生可能性を決める要素
発生可能性については、事故等を引き起こす脅威 にはどのようなものがあり、その脅威の度合いはどの程度のものかを評価することによって発生可能性を評価します。脅威には、外部からの攻撃、盗難、内部犯行、人為的ミス、自然災害など、様々なものがあります。また、脅威が非常に大きい場合であっても、その脅威に対する対策がしっかりしたものであれば、発生可能性は低く抑えることができますし、その対策が脆弱 であれば発生可能性は高いままです。例えば、ある会社の企業秘密を他社の産業スパイが盗み出そうと活発に活動している場合、その脅威は大きいと考えられますが、狙われた会社のセキュリティ対策が強固であれば発生可能性は低くなり、逆に狙われた会社のセキュリティ対策が脆弱であれば発生可能性は高いものとなります。従って、発生可能性については脅威と脆弱性の両方の要素によって決まります。
5.3.脅威の特定と評価
脅威を構成するのは、外部からの攻撃、盗難、内部犯行、人為的ミス、自然災害などの好ましくない出来事とそれを引き起こす脅威源からなります。脅威源としては、外部の攻撃者、侵入者、内部の職員、自然環境等などが挙げられます。例えば、文書の紛失や盗難による情報漏えい事故を考えた場合、脅威源としては、内部職員、外部侵入者が考えられます。内部職員によって引き起こされる脅威としては、過失による情報の紛失・盗難、悪意による情報の持ち出し、流出などがあります。外部侵入者による脅威としては、情報の盗難があります。
情報資産毎にこれらの脅威を特定した上でそれぞれの脅威がどの程度の頻度または可能性で発生するかを評価します。
5.4.脆弱性の特定と評価
脅威は脆弱性(安全上の欠陥)を利用して好ましくない事態を引き起こすので、想定される脅威ごとにどのような種類の脆弱性があるかをリストアップし、組織がその脆弱性に対してどのような対策を行なっているかを確認する必要があります。
例えば、外部からの標的型攻撃などを考えた場合、ソフトウェアの脆弱性が放置された状態にあると、その脆弱性を利用してコンピュータウイルスに感染させ、感染が拡大して行くことになります。逆にソフトウェアの脆弱性対策をしっかり実施していれば、コンピュータウイルスの感染を防ぎ、標的型攻撃などによる情報漏洩事故の発生可能性を低くすることができます。
また、「内部職員の悪意による情報の持出」という脅威に対しては、「A.事務管理体制に関する脆弱性」や「B.人事管理に関する脆弱性」があります。これらの脆弱性がどの程度のものかについては、組織内で行われている情報セキュリティ対策の実情などを評価する必要があります。脆弱性A(事務管理体制に関する脆弱性)については、管理体制がしっかりしており、情報を持ち出すスキはなく、持ち出しに成功しても、誰が持ち出したか、すぐわかってしまうのであれば、事務管理体制に関する脆弱性は小さいと言えます。しかし、管理が不在で、自由に情報の持ち出しが可能で、監視に関するログやビデオなどの記録もないのであれば、事務管理体制に関する脆弱性は大きいと言えます。
同様に、脆弱性B(人事管理に関する脆弱性)についても、組織への不満や健康、個人的に不安がないかなど、常にコミュニケーションをとり、パフォーマンス管理を含めた人的管理がルール化されており、そのルールに従って実際に運用されているのであれば、人事管理に関する脆弱性は小さいと言えます。しかし、上記のようなルールは定められておらず、組織への不満や個人的に経済的困窮の状況などがあっても、人的コミュニケーションや管理がなく、感知できない体制であれば、人事管理に関する脆弱性は大きいと言えます。