ISMS（ISO27001）のリスクアセスメントとは、リスク特定、リスク分析、リスク評価の一連のプロセスのことを指します。
ISMS（ISO27001）を構築する上でのリスクアセスメント法は、①ベースラインアプローチ、②非形式的アプローチ、③詳細リスク分析の３つがあります。
リスクアセスメントを行うことで、社内のリスクの全容を把握できます。

１．ISMS（ISO27001）のリスクアセスメントとは？

ISMSのリスクアセスメントとは、①リスク特定、②リスク分析、③リスク評価のプロセス全体のことを指します。

どのようなリスクがあるのか洗い出し、そのリスクにどのような影響があるのかを分析し、
どのくらい重要かを把握し、どう対策していくか決めていく活動のことです。

情報セキュリティにおけるリスクはたくさんありますが、どのようなリスクがあるかはその組織の状況によって異なります。

①リスク特定

リスク特定とは、どんなリスクがあるか見つける・洗い出すことです。

情報セキュリティにおけるリスクとは、情報セキュリティ３大要素である機密性・完全性・可用性を損なう要因のことを指します。

ではどうやってリスクを特定するのでしょうか。
リスクの特定と言われると、「会社にある情報資産を全て洗い出さないと・・・」「そもそも情報資産ってなんだっけ？定義は？」と悩んでしまうかもしれません。

組織にとって一番重要なことは、情報資産のリスクを軽減することです。

まずは日常業務で「これって大切な情報だよな」と思うものを洗い出していきましょう。
洗い出したものが重要資産であり、リスク対策ができているか確認しないといけない情報になるはずです。
その重要資産に対して、漏えい、滅失、毀損などの危険性がリスクになります。
事前に把握しておかないと漏えいなどのインシデントが起きてしまうかもしれません。
そのため、事前に危険性を確認しましょう。これがリスクの特定です。

②リスク分析

リスク分析とは、 ①で洗い出したリスクが

・どんな特性があるか
・どのくらい影響をもつものなのか

を調査・分析することです。

そのリスクが発生したら組織にどんな影響があるのか、その影響の度合いはどれほどか、どこまでの範囲に影響があるかを分析することを指します。

③リスク評価

リスク評価とは、 ②で分析した結果をもとに、

・そのリスクをどうするか
・どのリスクを優先的に対応するか

の判断材料を揃えることです。

以上の①～③のプロセスが「リスクアセスメント」になります。

ISMS（ISO27001）においては、リスクアセスメント後に「リスク対応」が待っています。

④リスク対応

リスクアセスメントを行ったら、必要なものにはリスク対応を行います。

リスク対応には大きく３つの方法があります。

リスク軽減：リスク発生の可能性を低くする・影響範囲を小さくする対策を施す
リスク回避：該当プロセスを辞める・機器の利用を辞めるなど、リスクの根本を絶つ
リスク移転：外部にリスクを移転する

ちなみに、リスク特定で洗い出されたけれども対応はしなくてよい、もしくはこれ以上は対応できない、 という評価になった場合は、リスク受容となります。

リスク受容：対策をせず、リスクは認知してもそのままにする

こちらの記事でもセキュリティリスクへの対応について解説しております。是非ご覧ください。

２．情報セキュリティ３大要素のCIAとは?

ISMS（ISO27001）の重要なキーワードは、 情報セキュリティ３大要素の「CIA（機密性・完全性・可用性）」です。

機密性(Confidentiality)
その情報を見れる人が少ない状態のものです。
ですので当然外部に漏洩すると多大な影響に繋がる可能性のあるものを指します。

完全性(Integrity)
情報が正確な状態です。
もちろん情報が欠けていたり、古かったりも完全性ではない状態となります。
完全性を脅かすリスクを軽減していくのがリスク対策の１つとなります。

可用性(Availability)
必要な時にいつでも使える状態にしておくことです。
バックアップを取っていてもそれが肝心な時に復旧できなければバックアップの可用性は担保されていませんよね。

ISMS（ISO27001）はこの３つのCIAの観点のリスクを軽減し、マネジメントシステムとすることでリスク軽減対策を実施していく規格なのです。

３．ISMS（ISO27001）のリスクアセスメント方法３選

リスクアセスメントで何をするかはお分かりいただけたでしょうか。
次に、リスクアセスメントの具体的な方法を３つご紹介します。

①ベースラインアプローチ

ベースラインアプローチとは、理想と現実のギャップがポイントです。
自社にとっての理想となるセキュリティ対策とはどのような状態で、どんなことをしている状態なのか、
それに対して現実の対策と状態はどうなっているかを把握すると「ギャップ」に気づくはずです。
ギャップ分析とも言います。

ギャップに対して情報セキュリティ対策を実施していく手段です。

②非形式的アプローチ

非形式アプローチとは、企業の経験や知識を活かしたり、 担当者の知識やセキュリティの専門家からの助言に基づき、リスクを特定・分析・評価していく手段です。

③詳細リスク分析

詳細リスク分析とは、リスク評価しやすくするために、詳細に管理体制や資産価値の確認および評価を行う手段です。
CIAごとに点数をつけたり、脅威・脆弱性をもとにスコアをつけたり、詳細に管理体制や資産価値の確認方法を決めていくということです。

※脅威　：リスクを発生させる要因を指します。
※脆弱性：脅威が発生しやすい性質のことです。

こちらの記事でもISMS（ISO27001）の構築について解説しております。是非ご覧ください。

まとめ

ISMS（ISO27001）におけるリスクアセスメントとは、リスク特定、リスク分析及びリスク評価のプロセス全体のことです。

簡単に説明すると、自社にとってどのようなリスクがあるのかを見つけ、そのリスクがどれほど社内にとって影響があるのかを分析し、 どのくらい自社にとって重要か把握し、どう対策していくかを決めていく活動を指します。
ISMS（ISO27001）を構築する上でのリスクアセスメント法は、①ベースラインアプローチ、②非形式的アプローチ、③詳細リスク分析の3つがあります。

以上、リスクアセスメントについて説明いたしましたが、 「頭では理解できても、実際にリスクアセスメントを行うとなるとよくわからない…」 というケースも多いと思います。

お困りの際は、是非コンサルタントにご相談ください。