このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第3章 リスクアセスメントの具体的実施方法(1/2)
理論だけでは実際にどのように行うのかよくわからないと思いますので、以下では具体的にどのように実施すればよいか、情報資産に対するリスクアセスメントの実施方法を定性的評価方法に絞って考えたいと思います。
1.情報資産台帳の作成
2.リスク分析を行う単位での情報資産のグループ化
3.脅威源及び脅威事象の特定と評価
4.各脅威に対する脆弱性の特定と評価
5.脅威と脆弱性の評価結果からの発生可能性の算出
6.リスク値の算出
7.リスク許容度
8.リスク対応
1.情報資産台帳の作成
情報資産に対するリスクアセスメントを実施する前に、まず、評価の対象となる情報資産について、組織としてどのような情報を持っているかということを把握するため、情報資産台帳を作成します。特定の資産や特定のリスクについて、リスクアセスメントを実施する場合は、情報資産台帳は必要ありませんが、組織の情報資産全てを対象にリスクアセスメントを実施する場合は、まず情報資産台帳を作成することにより、組織として保有する情報資産を明確にすると同時に、リスク評価対象を明確にします。
情報資産台帳に記入する項目としては、各情報資産の名称の他、重要度、媒体種別(紙媒体、電子媒体)、保管先(紙媒体であれば、施錠キャビネット、机上保管など。電子媒体であれば、USBメモリ、スタンドアロンPC、サーバ上の共有フォルダ、個別情報システムのサーバ等)、情報の管理者、情報の利用者、情報の提供先、情報の運搬・送信方法などが挙げられます。
1.1 .情報資産の粒度
情報資産台帳を作成する際は、各情報資産の粒度は、なるべく業務と結びつけた、粗いものとします。
全ての資産を詳細なレベルでリストアップすることは、リスクアセスメントの目的からはあまり意味がありません。どんな情報資産があって、それがどのくらい守るべき価値があり、どのような脅威や脆弱性があるかがわかればよいのです。業務に結びつけた形で情報資産をリストアップするのがリスク評価の観点から好ましいと言えます。
1.2.重要度(影響度)の評価
適切な粒度で情報資産が記入できたら、各情報資産の重要度を評価します。重要度を評価するためには、当該情報資産に関する情報漏えい事故等が発生した場合にどのくらいの損失を被るのか、業務にどの程度の影響があるかということを評価しなければいけないのですが、ここでは定性的評価に限って説明します。
定性的評価では、重要度が高、中、低の3段階くらいに分けて評価します。私の属していた組織では、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の三つの観点から情報資産を格付けしており、事故が発生した場合の影響度からそれぞれ1、2、3と格付けしています。
例えば、機密性1は、情報が漏洩しても影響のない情報資産であり、具体的には公表済みの情報などがこれに当たります。機密性2は、情報が漏洩すると業務上影響があるものですが、組織の信用を著しく損なうまでには至らないものです。機密性3は漏洩により組織の信用を著しく損なうものであり、顧客との取引に関する情報や営業秘密に関するものなどが該当します。
完全性については、改ざん等によって受ける影響度から判断します。また、可用性はデータやシステムを利用できないことによる影響度から判断します。
この結果、情報資産の重要度は機密性、完全性、可用性の3つの観点からそれぞれ評価されますが、大まかな重要度がわかれば良いので、この3つの中で最も高い評価結果をその情報資産の重要度としてリスクの計算に使用するのが最も簡単な方法です。
1.3.情報資産の媒体種別、保管先、運搬・送信方法等の記入
情報資産の媒体種別、保管先、運搬・送信方法等を記入するにあたっては、予めその媒体種別、保管先、運搬・送信方法等を以下のようにリストアップしておき、情報資産台帳の作成者はその中から選択するようにします。
【各情報資産の保管形態(媒体種別、保管先)の例】
文書(紙媒体)
机上保管
キャビネット保管
施錠キャビネット保管
電子媒体
USBメモリ/DVD
机上保管
キャビネット保管
施錠キャビネット保管
スタンドアロンPC
机上保管
キャビネット保管
施錠キャビネット保管
入退出管理のされている端末室
サーバ
一般LAN環境(インターネットとの通信可能)
組織間共有フォルダ
課室の職員のみにアクセスが限定されたフォルダ
限定された職員のみにアクセスが限定されたフォルダ
個人フォルダ
隔離LAN環境(インターネットから隔離)
○○情報システム
・・・システム(各システムを列記)
【運搬・送信方法(該当ある場合のみ)の例】
運搬方法
職員が1人で運搬
契約した運搬事業者が運搬を行う
送信方法
外部と電子メールで送信、受信を行う
専用線でデータの送信を行う
2.リスク分析を行う単位での情報資産のグループ化
リスクアセスメントでは、重要度の評価、脅威や脆弱性の評価を行いますが、情報資産の数が非常に多い場合、これを一つ一つ行なっていたら膨大な時間がかかりますので、同じ重要度で、同じ媒体種別、保管先で同じ管理などを行なっているものについての脅威や脆弱性は同じであるとの考え方から、情報資産の形態毎にグループ化して行います。
各情報資産の重要度、媒体種別、保管先や運搬・送信方法が明らかになれば、同じ管理、取り扱いをしているものについては、グループ化して情報資産グループ名をつけます。例えば、「管理関係(文書、キャビネット施錠保管・運搬なし)」という名前でもよいですし、「営業秘密(電子媒体、機密限定フォルダ)グループ」という名前でもよいと思います。
注意すべきは、全く同じ内容の情報でも、媒体種別が文書と電子媒体では管理方法が異なるので、別の情報資産として扱い、情報資産グループも別の情報資産グループに分けられるということです。情報資産台帳上では、紙媒体と電子媒体として別々に記載し、情報資産グループ名は別々の名称を記載します。
上記のとおりグループ化ができたら、グループ毎にリスク分析シートを用いてリスク分析を行います。
3.脅威源及び脅威事象の特定と評価
リスク分析シートでは、まずどのような脅威があるかを特定します。
この脅威を特定するにあたっては、情報資産グループ毎にゼロからいちいち、どのような脅威があるかを考えて行くとどれだけ時間があっても足りませんので、リスク分析シートに予め想定される脅威をリストアップしておき、その中から当てはまるものを選択するようにします。
脅威のリストアップに際しては、まず、脅威源とそれが引き起こす好ましくない出来事(脅威)との組み合わせのリストを作成します。脅威のリストの作成の際に注意すべきことは、あまりに可能性の低い、関係ないものは除くことです。
リスク分析シートには、想定される脅威をリストアップしておくので、各情報資産グループの評価者は、媒体種別、保管先、運搬・送信方法などを考慮し、想定される脅威を選択し、各脅威の度合いを評価します。例えば、盗難・紛失の脅威の度合いは、頻繁に情報を持ち出すことがあれば、持出先での盗難・紛失の発生可能性は高まるので、その脅威の度合いは高くなりますが、全く持ち出しがないのであれば、盗難・紛失の脅威の度合いは低くなります。同様に重要情報を外部へ電子メールで送信する機会が多いのであれば、職員による電子メール誤送信の脅威の度合いは高くなりますが、全く外部へ電子メールで送信することがないのであれば、電子メール誤送信の脅威の度合いは低くなります。
脅威の度合いについては、定性評価では以下のように判断基準を設けて評価します。以下の例では4段階で評価していますが、3段階で評価してもいいと思います。但し、3段階評価にすると結果として真ん中の評価を選択するという傾向が強くなります。
1:該当の取扱いがないか、攻撃の試行や障害・事故等の原因となる事象、行為が発生することは考えられない
2:攻撃の試行や障害・事故等の原因となる事象、行為は、過去に発生したことがないが、稀に発生する可能性はある(例.火災、自然災害)
3:攻撃の試行や障害・事故等の原因となる事象、行為が、過去に発生したことがあり、数年に1度以上発生しうる
4:攻撃の試行や障害・事故等の原因となる事象、行為が過去に何回か発生したことがあり、年に1度以上発生しうる(例. 標的型攻撃、外部からのハッキング、電子メールの誤送信)
脅威がどの程度の頻度で発生するかについて評価するのは、難しい部分がありますが、例えば、過去の発生頻度などを参考に評価します。もちろん、取り扱う頻度などが増えれば、それだけ事故などが発生する可能性も大きくなるため、そのような変化があった場合は、それを考慮に入れる必要があります。