このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第2章 リスクアセスメントの準備
以上が、リスクアセスメントの概要ですが、リスクアセスメントを実施する前に以下の事項を決めておく必要があります。
1.スコープ(対象範囲、アセスメントアプローチ)の決定
2.誰が主体となって行うのか
3.リスク評価手法の決定
4.リスク値の計算方法の決定
5.リスク許容度の決定
1.スコープ(対象範囲、アセスメントアプローチ)の決定
リスクアセスメントを行う前には、その目的に照らして、まず、何を対象に、どの範囲のものを、どの程度の粒度で評価するかを決める必要があります。対象とする情報資産を決めたら、そのリスクをどのように評価するかを決めるか、評価方法は定量的評価方法で行うか、定性的評価方法で行うかといったことを決める必要があります。対象資産が限定されており、リスクが現実のものとなった場合の損失金額や発生確率を評価し、リスク対応にかかるコストと比較する必要がある場合は、定量的評価方法により厳密に評価する必要がありますが、対象資産の数が非常に多く、全体としてどこにリスクがあるのかを把握し、優先的に対応すべきリスクがわかれば良い場合は定性的評価を行います。
2.誰が主体となって行うのか
リスクアセスメントを行う場合は、誰がリスクアセスメントのプロジェクトを主導して、誰がリスク評価を行うかについても決定する必要があります。組織全体として全ての情報資産を対象としてリスクアセスメントを行う場合は、情報セキュリティ担当部署などが全体を取りまとめる事務局となり、各部署の情報資産のオーナー(管理者)が各情報資産のリスクアセスメントを実施することになると思います。リスクアセスメントを行う主体は基本的に情報資産または情報システムのオーナーが良いと思いますが、一つの情報システムに対して厳密なリスクアセスメントを実施する必要があり、技術面の評価などに専門的な知識や経験を必要とする場合は、外部の専門家を雇ってリスクアセスメントを実施することになります。
また、リスクアセスメントを実施するにはそれなりの人と時間が必要となりますので、これらリスクアセスメントに割り当てられる資源の確保を行うために、プロジェクトのスポンサーを決めて、そのスポンサーの権限によって実施させることが必要です。
3.リスク評価手法の決定
各評価者が各々の勘や経験に基づいて評価をしていたら、同じリスクでも評価者によって異なった評価結果となるため、組織全体として統一した評価手法、評価基準でリスクアセスメントを実施する必要があります。
リスクを評価するにあたって、想定される脅威については予めリストアップしておき、個々の脅威についてどのような基準で評価するのか、リスク分析シートを用意しておくとどの評価者でも同じ基準に従って評価を実施することができます。脅威の程度を例えば1、2、3、4で評価するのであれば、どのような状況であればそれぞれの値になるのかの基準を決めておきます。明確な評価基準がなければ、同じ脅威でも評価者によって評価結果が変わってしまうためです。
また、脅威は脆弱性を悪用して事故など、負の影響を及ぼす事象を引き起こすため、予め脅威ごとに想定される脆弱性をリストアップしておき、それぞれの脆弱性の評価基準も決めておくことが必要です。
事故などが発生した場合の影響度合い(重要度)を評価する際の評価基準も同様に決めておく必要があります。
4.リスク値の計算方法の決定
各リスク因子の値が決まったら、それらのリスク因子からどのようにリスク値を計算するのかについても、予め決めておく必要があります。例えば、事故など、負の影響をもたらす事象の影響度(重要度)について、定性的評価により1、2、3という値で評価しており、脅威と脆弱性についても1、2、3という値で評価している場合、リスク値はどのように計算するのでしょうか。これらのリスク因子を単純に掛け合わせると、以下のように1から27の値となります。
影響度 × 脅威 × 脆弱性 = リスク値
(1〜3)×(1〜3)×(1〜3)=(1〜27)
(注)括弧内の数字は評価結果のとりうる値の範囲を示しています(以下、同じ)
IPAの発行する「中小企業の情報セキュリティ対策のガイドライン」では、脅威と脆弱性の値によって発生可能性を算出し、その発生可能性に影響度(重要度)をかけることによって、リスクの値を計算しています。各リスク因子を1、2、3という値で評価している場合、リスク値は以下のように計算しています。
リスク値 = 影響度 ×発生可能性
(1〜9)=(1〜3)×(1〜3)
発生可能性= 脅威 ÷(4-脆弱性) 小数第1位を切り上げ
(1〜3)=(1〜3)÷{(4ー(1〜3)}
(1〜3)=(1〜3)÷(1〜3)
(注)計算結果は最小で3分の1、最大で3となるが、小数第1位を切り上げることにより、1から3の整数値となる
5.リスク許容度の決定
リスク値が計算できたら、リスク値の高いものについては対応する必要がありますが、どの程度までなら許容するかというリスク値を組織として予め決めておく必要があります。全てのリスクに対応してリスクを最小の値にすることは、実質的に不可能なことですので、組織として予め許容できるリスクの水準を決めておき、その水準を超えたリスクについては何らかの対応を行うようルール化しておくことが重要です。逆に言えば、各部署の判断で妥当な理由もなく、リスク許容度を超えたリスクを放置しないようにルール化します。