組織の情報セキュリティを確保維持するためにPDCAサイクルに沿った継続的な枠組みが必要となります。
そのための体制が情報セキュリティマネジメントです。
ポイントとしてはリスクアセスメントです。
- リスクアセスメントに基づく情報セキュリティの策定
- ポリシに基づく組織、管理、物理環境面での対策の実践方法
1.リスクの概念とリスクアセスメント
情報セキュリティにおけるリスクマネジメントでは、純粋リスクのみを対象とする。
※純粋リスクとは、災害、事故、盗難、障害などのように、マイナスの影響(損失)のみが発生するリスクのことです。
リスクの大きさは、
「リスクと考えていた事態が実際に起きる確率(事象の発生確率)」と
「その事態が起きたことによって発生する損失の大きさ(事象の影響度)」
の組合せで測定されます。
リスクアセスメント(risk assessment)は、
JIS Q 27001:2006によると「リスク分析からリスク評価までの全てのプロセス(TR Q 0008:2003)」と定義されています。
すなわち、リスクアセスメントとは「リスク分析を行い、算定されたリスクについてリスク評価を行うこと」であり、単にリスク評価を行うだけでなく、その前のプロセスであるリスク分析も含んでいます。
1.1.リスク分析
リスク分析では、
- 情報セキュリティで保護すべき情報資産を洗い出し、重要度ごとに分類します。
- その情報資産に対する脅威とぜい弱性を徹底的に洗い出します。
- 情報資産、脅威、ぜい弱性の関連性を明らかにし、想定されるセキュリティリスクの損失額と発生確率を予測し、それぞれのリスクの大きさを算定します。
なお、リスクの損失額を予測する際には、
- セキュリティ事故によって発生する直接的損失(紛失や破壊によって被った直接的な被害)や対応費用(システムの復旧費用や復旧するまでの間の代替手段にかかる費用など)だけでなく、
- 間接的損失(事故によって失った信用を回復するためにかかる費用)についても考慮する必要があります。
1.2.リスクアセスメントの重要性
ISMSで保護すべき情報資産には、その組織に独自の特性や固有のリスクがあり、情報セキュリティ対策(管理策)にはそれらが反映されていなければなりません。もし、リスクアセスメントを実施せずに情報セキュリティ対策が策定された場合には、その対策は、組織に固有のリスクに対応していないため、不適切なものになってしまうという問題が生じます。
そのため、情報セキュリティ対策を策定する際には、必ずリスクアセスメントを実施して受容リスク基準を満たしていないリスクを判別し、そのリスクに対してどのような対応方法をとるかを決定するという手順を経る必要があります。
1.3.リスク分析方法
ISMSにおける代表的なリスク分析方法には、次の四つがあります。
- ベースラインアプローチ(baseline approach)
ベースラインアプローチは、公表されている各種の基準やガイドラインなどに基づいて一定のセキュリティレベルを設定し、実施している管理策とのギャップ分析を行ったうえで、リスクを評価する方法です。詳細リスク分析とは異なり、個々の情報資産に対するリスクの分析・評価は行いません。
公表されている基準やガイドラインなどをベースライン(セキュリティ対策の標準)として一律に適用するので、リスク分析にかかる労力や時間を軽減することができるというメリットがあります。 - 詳細リスク分析(detail risk analysis)
詳細リスク分析は、個々の情報資産ごとにリスクの分析・評価を行う方法です。
ISMSの適用範囲に含まれる情報資産を洗い出し、それぞれの情報資産に対して、情報価値、脅威、ぜい弱性、セキュリティ要件を識別し、情報資産ごとにリスクを評価します。
詳細リスク分析では、情報資産ごとにきめ細かいリスクアセスメントを行うことができる反面、作業量が多くなるので手間と労力がかかります。 - 非形式アプローチ(informal approach)
非形式アプローチは、リスク分析を行う組織や担当者の経験や判断に基づき、リスクを評価する方法です。
体系的なアプローチをとらないため、担当者の主観や考え方に影響を受けやすく、リスクアセスメントの結果の正当性を保証するのが難しいというデメリットがあります。 - 組合せアプローチ(複合アプローチ:combined approach)
組合せアプローチは、複数のリスク分析方法を併用し、それぞれの短所と長所を相互に補完できるように組合せる方法です。一般にはベースラインアプローチと詳細リスク分析を組合せることが多く、基本的な情報資産についてはベースラインアプローチを採用し、重要な情報資産に限って詳細リスク分析を適用するという方法がとられます。
組合せアプローチでは、それぞれのリスク分析方法の長所を生かせるので、作業効率や分析精度の向上を図ることができるというメリットがあります。
1.4.詳細リスク分析・評価の手順
1.4.1.リスクの特定
- 情報資産
情報資産は、情報セキュリティで保護すべき対象物のことです。情報資産には、電子化された媒体だけでなく、ノウハウや人の記憶など電子化されていないものも含まれます。
具体的には、サーバやパソコンなどのハードウェア、ネットワーク、データベース、OSやプログラムなどのソフトウェア、設計書や操作手順書などのドキュメント類、顧客情報や営業情報、経営情報や人事情報、ノウハウ、企業イメージや信用など、幅広い範囲のものが含まれます。 - 脅威
脅威は、情報資産にマイナスの影響を与え、損失を発生させる潜在的な原因となるものです。
一般には、
地震や火災、落雷、水害などの「自然災害」、
ハードウェアの故障や誤動作、ソフトウェアのバグ、電源異常などの「システム障害」、
機器の不正使用、破壊、盗聴、情報の改ざん、なりすましなどの「不正行為」、
システム使用時のミスや誤操作などの「人為的過失」に大別されます。 - ぜい弱性
ぜい弱性は、組織や情報資産に内在する情報セキュリティ上の弱点や欠陥のことです。ぜい弱性が大きければ、情報資産が被害に遭ったり、損失が発生したりする危険性が高くなります。
具体的には、建物の構造上の欠陥などの「設備面のぜい弱性」、
ソフトウェアのバグなどの「技術面のぜい弱性」、
ユーザ教育やマニュアル不備などの「管理面のぜい弱性」があります。
1.4.2.リスクの算定
情報セキュリティを脅かすセキュリティリスクは、情報資産、脅威、ぜい弱性の三つの要素で構成されています。この三つの要素がすべて存在し、脅威とぜい弱性がともに成立したときに、「損失が発生するかもしれない状態」から「実際に損失が発生した状態」に変化します(これを「リスクが顕在化する」といいます)。
すなわち、リスクとは、「脅威が情報資産のぜい弱性を利用して、情報資産への損失または損害を与える可能性」のことであると表現できます。
