2025年12月11日
目次
Close
- 1.ISMSのリスクアセスメントとは
- (1)リスクアセスメントを実施する目的
- (2)審査でチェックされるポイント
- (3)リスクアセスメントの全体像
- 2.リスクアセスメント実施フロー(4ステップ)
- (1)【準備】リスク受容基準の決め方(評価ルールの策定)
- (2)ステップ1:リスクの特定(資産・脅威・脆弱性の洗い出し)
- (3)ステップ2:リスク分析(発生可能性 × 影響度)
- (4)ステップ3:リスク評価(受容基準との比較)
- (5)ステップ4:リスク対応(低減/受容/回避/移転)
- 3.【実務でつまずくポイント】資産・脅威・脆弱性の洗い出し方
- (1)洗い出しのコツ
- (2)初心者がやりがちな失敗例と対策
- 4.リスクアセスメントの方法 3選
- (1)ベースラインアプローチ(標準準拠)
- (2)詳細リスク分析(詳細評価型)
- (3)組み合わせアプローチ(最も一般的)
- 5. ISO/IEC 27001:2022では何が変わった?
- (1)管理策の整理と追加
- (2)リスク評価への実務的影響はある?
- (3)注意すべき点
- 6. リスクアセスメント後の運用・更新のポイント
- (1)見直し頻度は年1回で足りるのか
- (2)変更管理との紐づけ
- (3)記録・エビデンスとして残すべきもの
- 7. 効率化する方法(Excelテンプレート・SaaSの活用)
- (1)ツールで自動化できる部分
- (2)品質向上・コスト削減のポイント
- 8.まとめ
「ISMSのリスクアセスメントって具体的にどう進めればいいの?手順や方法がよくわからない」
このような疑問をお持ちではないでしょうか。
情報セキュリティの重要性が高まるなか、ISMS認証を目指す企業にとってリスクアセスメントは必須のプロセスです。しかし、目的や評価基準が曖昧なまま進めてしまうと、資産の洗い出しで行き詰まったり、審査で不適合を指摘されたりと、運用がうまく回らないケースが少なくありません。
この記事では、リスクアセスメントの基本的な目的から、4ステップの実施フロー、実務でつまずきやすいポイント、代表的な3つの方法の比較、さらに2022年版ISO/IEC 27001改訂の影響や運用・更新の注意点、効率化のためのExcelやSaaS活用まで体系的に解説します。
最後までお読みいただくことで、ISMSリスクアセスメントの全体像を理解し、自社に合った方法で効率的かつ効果的に運用できるようになります。セキュリティ対策を強化し、信頼性の高いビジネス基盤を築く第一歩を踏み出してください。
1.ISMSのリスクアセスメントとは
(1)リスクアセスメントを実施する目的
ISMSにおけるリスクアセスメントの目的は、リスクを完全にゼロにすることではなく、許容可能なレベルまで下げることにあります。
すべてのリスクに最高レベルの対策を講じればコストは無限に膨らみ、業務効率も著しく低下してしまうため、重要な情報資産やそれに対する脅威、そして現状の対策状況を分析し、限られた人・モノ・金といったリソースを効果的に配分することが求められます。つまり「なんとなく対策する」状態から「根拠を持って対策する」状態へと転換することが目的です。
具体的には、次の3点に整理できます。
- 重要資産を守るための優先順位付け
- リスクの見落とし防止と合理的な対策検討
- 経営者がリスクを把握し意思決定できる状態を作る
これらを通じて、ISMSのリスクアセスメントは「限られたリソースで効果的にリスクを管理する仕組み」を実現することを目的としています。
(2)審査でチェックされるポイント
| チェック観点 | 内容 |
| 手順の明確化 | 自社ルール(手順書)通りに実施されているか |
| 網羅性 | 資産・脅威・脆弱性の洗い出しに漏れがないか |
| 一貫性 | 部署間で矛盾がないか |
| 評価ルール | リスク受容基準が明確か |
| 説明責任 | “なぜそのリスクを受容したのか”説明できるか |
| 妥当性 | リスク対応が管理策(Annex A)と整合しているか |
| 更新性 | 見直しが適切に行われているか |
※特に「評価ルールが曖昧」な場合は不適合が発生しやすくなります。
(3)リスクアセスメントの全体像
| ステップ | 内容 |
| 資産の洗い出し | 守るべき情報資産を特定 |
| 脅威・脆弱性の特定 | 資産に対するリスク要因を抽出 |
| リスク算定 | 可能性 × 影響でリスクを数値化 |
| 評価・判断 | 受容するか、対応策を講じるかを決定 |
| 対応 | 管理策を実施し、改善を継続 |
| 継続的運用 | サイクルを回し続けることがISMSの本質 |
2.リスクアセスメント実施フロー(4ステップ)
ISMSにおけるリスクアセスメントは、単なる形式的な作業ではなく、組織の情報資産を守るために「どのリスクにどのように対応すべきか」を合理的に判断するための仕組みです。
以下の4ステップを順に進めることで、リスクを体系的に管理することができます。
(1)【準備】リスク受容基準の決め方(評価ルールの策定)
リスクアセスメントは、いきなり資産を洗い出すのではなく、まず「定規(ルール)」を作るところから始めます。評価ルールが曖昧だと、同じリスクでも部署や担当者によって判断がぶれ、不適合につながります。
【評価ルール(発生可能性×影響度)】
リスクアセスメントでは、各リスクについて
- 発生可能性(どのくらい起こりやすいか)
- 影響度(起きた場合の被害の大きさ)
をそれぞれ段階的に評価します。
例えば、次のように3段階で定義した場合
| レベル | 発生可能性の例 | 影響度の例 |
| 1 | ほぼ発生しない(数年に1回程度) | 軽微な影響(軽微な損害) |
| 2 | 年1回程度発生(年数回) | 業務に中程度の影響(一部停止) |
| 3 | 頻繁に発生(日常的) | 重大な情報漏洩・事業存続の危機 |
このとき、リスク値は 「発生可能性 × 影響度」 で算出します。
- 最小値は 1×1 = 1
- 最大値は 3×3 = 9
つまり「最大リスク値は 9」というのは、発生可能性が最も高く、影響度も最も大きいリスクを想定した場合の上限値という意味です。
受容基準(ボーダーライン)例
- 総合値 1〜3 → 受容
- 総合値 4〜9 → リスク対応が必要
審査では「なぜこの基準なのか」を説明できることが重要となってきます。
(2)ステップ1:リスクの特定(資産・脅威・脆弱性の洗い出し)
最初のステップでは、守るべき資産とそれに関連する脅威・脆弱性を網羅的に洗い出します。
ここで漏れがあると、その後の分析や評価が不完全になり、重大なリスクを見逃す可能性があります。
| 区分 | 例 |
| 資産 | 顧客情報DB、社員情報、サーバ/PC、契約書、クラウドサービス(SaaS) |
| 脅威 | サイバー攻撃、マルウェア感染、誤送信、内部不正、機器紛失、災害(火災・水害) |
| 脆弱性 | OS未更新、権限管理の曖昧さ、人為的ミス、暗号化なし、バックアップなし |
(3)ステップ2:リスク分析(発生可能性 × 影響度)
次に、特定したリスクに対して「発生可能性」と「影響度」を掛け合わせて数値化します。
これにより、リスクの大小を客観的に比較できるようになります。
- 例1:営業部ノートPC → 脅威:紛失/盗難、脆弱性:暗号化なし
→ 発生可能性「2」 × 影響度「3」 = リスク値「6」 - 例2:顧客情報PC → 脅威:マルウェア感染、脆弱性:OS更新遅延
→ 発生可能性「2」 × 影響度「3」 = リスク値「6」
【ポイント】
Excelなどで計算できる仕組みを整えておくと、運用が安定し、属人化を防げます。
(4)ステップ3:リスク評価(受容基準との比較)
算定したリスク値を、準備段階で決めた受容基準と照らし合わせます。基準を超える場合は「許容できないリスク」と判断し、対応が必要になります。
- リスク値「6」 → ボーダーライン「4」を超えるため対策が必要
- 一方で「業務影響が軽微でコストが過大」な場合は受容も可能
評価理由を記録に残すことが審査では重要であり、「なぜ受容したのか」を説明できる状態にしておく必要があります。
(5)ステップ4:リスク対応(低減/受容/回避/移転)
最後に、評価の結果「許容できない」と判断されたリスクに対して、具体的な対応策を選択します。JIS Q 27001では以下の4つの方法が示されています。
| 分類 | 内容 | 具体例 |
| 低減 | 発生確率や影響度を下げる | HDD暗号化、アクセス権見直し、ウイルス対策 |
| 受容 | あえて対策せず監視 | 発生確率が低い、コスト過多 |
| 回避 | リスク源をなくす | 個人情報持ち出し禁止、不要データ削除、古いサーバ廃棄 |
| 移転(共有) | 他社や外部に分担 | サイバー保険加入、クラウドSLA利用、外部委託 |
このステップでは「どのリスクにどの対応を選ぶか」を明確にし、記録に残すことが重要です。対応策が妥当であるかどうかは審査でも必ず確認されるため、根拠を持って説明できるようにしておく必要があります。
このように、ISMSのリスクアセスメントは「準備 → 特定 → 分析 → 評価 → 対応」という流れを繰り返し、継続的に改善していくことで、組織の情報セキュリティを強化する仕組みとなります。
3.【実務でつまずくポイント】資産・脅威・脆弱性の洗い出し方
リスクアセスメントで最も挫折しやすいのが「資産・脅威・脆弱性の洗い出し」です。ここでは、よくある悩みとその解決のためのコツ、さらに初心者が陥りやすい失敗例と対策を整理します。
【よくある悩み】
- どこまでを“資産”に含めるのか判断が難しい
- 脅威と脆弱性の違いが曖昧になりがち
- SaaSや委託先をどう扱うか迷う
- 洗い出しの粒度がバラバラになり、管理不能に陥る
(1)洗い出しのコツ
ここでは、資産・脅威・脆弱性の洗い出しのコツを紹介します。
| コツ | 説明 | 具体例 |
| 業務プロセス単位で考える | 業務の流れに沿って資産・脅威・脆弱性を整理する | 営業 → 見積書 → メール送信 → CRM |
| 漏れをなくす意識 | 分類の正確さよりも網羅性が重要。審査では漏れが最も評価される | 資産分類が多少違っても不適合にはならない |
| SaaSや委託先も資産に含める | 外部サービスや委託先を除外すると審査で必ず指摘される | クラウドサービス、外部委託業者 |
| グルーピング | 同じ環境・同じ運用のものはまとめて管理する | ×「営業部PC50台を個別に列挙」→ ○「営業部用 標準PC(50台)」 |
| 標準リストの活用 | IPAやコンサル会社の公開リストをベースに、自社に不要なものを削除 | 脅威・脆弱性の雛形を利用して効率化 |
(2)初心者がやりがちな失敗例と対策
ここでは、初心者がやりがちな失敗例と対策を紹介します。
| 失敗例 | 対策 |
| 資産数が少なすぎる | 業務プロセスを起点に洗い出す |
| 脅威と脆弱性が混ざる | 例を参照し、分類を明確にする |
| 個人情報関連だけに偏る | 情報資産全体を対象にする |
| SaaSを除外してしまう | 委託先やクラウドサービスも資産に含める |
| PCや脅威を細かく列挙しすぎる | グルーピングでまとめる |
| 完璧な網羅性を最初から目指す | 初回は60〜70点の精度で十分。PDCAで毎年精度を高める |
このように「資産・脅威・脆弱性の洗い出し」は、完璧さよりも漏れをなくすこと・効率的に整理すること が重要となってきます。
4.リスクアセスメントの方法 3選
リスクアセスメントには複数のアプローチ方法があります。自社の規模やリソースに応じて選択するようにしましょう。以下に代表的な3つの方法を整理します。
(1)ベースラインアプローチ(標準準拠)
- 特徴
- 公開されている基準や規格、社内ルールを基準に現状を比較し、Gapをリスクとする方法
- メリット
- 短時間で実施可能、コストが低い
- デメリット
- 個別資産への深い分析ができない
- 向いている企業
- 人員が少なく深い分析が難しい企業、中小企業のISMS導入初期
(2)詳細リスク分析(詳細評価型)
- 特徴
- 資産ごとに価値・脅威・脆弱性を詳細に評価する方法
- メリット
- 厳密なリスク対策が可能
- デメリット
- 膨大な時間と専門知識が必要、全社規模では非現実的
- 向いている企業
- 情報量が多く高度な技術運用が必要な企業、セキュリティ担当者が複数いる企業
(3)組み合わせアプローチ(最も一般的)
- 特徴
- ベースラインで全体を網羅しつつ、重要資産のみ詳細分析を行うハイブリッド方式
- メリット
- 効率と精度のバランスが良い
- デメリット
- 設計に一定の工夫が必要
- 向いている企業
- 実務とコストのバランスを取りたい企業、多くのISMS取得企業(特に中小〜中堅規模)
このように、ベースラインは「簡易・低コスト」、詳細分析は「厳密・高負荷」、組み合わせは「バランス型」と整理でき、ほとんどの企業には組み合わせアプローチが推奨されます。
5. ISO/IEC 27001:2022では何が変わった?
2022年の改訂により、リスクアセスメント後に参照する「管理策(対策の選択肢)」が大きく変更されました。手順そのもの(特定→分析→評価)は変わりませんが、リスク対応の段階で適用する管理策が整理・再編され、実務上の見直しが必要となっています。
(1)管理策の整理と追加
- 旧版(2013年版)の114項目 → 93項目に統合・再編
- カテゴリは組織的・人的・物理的・技術的の4分類へ再整理
- 現代の脅威に対応するため、新規に11の管理策が追加
| 新規管理策の例 | 内容 |
| 脅威インテリジェンス | 外部の攻撃情報を収集・分析し、予防に活用 |
| クラウドサービス利用のセキュリティ | SaaS利用時の設定確認や契約管理 |
| Webフィルタリング | 有害サイトへのアクセス制限 |
| 物理セキュリティ監視 | 施設や設備の監視強化 |
(2)リスク評価への実務的影響はある?
リスクアセスメントの基本的な流れ自体は従来と変わりませんが、リスク対応(Step 4)の段階で参照する管理策が改訂によって変更されたため、適用宣言書(SoA)の作り直しが必要となります。
既存のリスク対応を新しい管理策にマッピングし直す作業が発生し、さらに脅威の種類や重要性の評価も変化しています。特にクラウド利用を前提とした視点が拡張されているため、従来の枠組みだけでは不十分となり、より広範なリスクの捉え方が求められるようになっています。
(3)注意すべき点
- 古い管理策番号のまま運用していると不適合の原因になる
- “更新”が適切にできているかが審査で大きな評価ポイントとなる
6. リスクアセスメント後の運用・更新のポイント
リスクアセスメントは一度実施して終わりではなく、継続的な運用と更新が求められます。特に「見直し頻度」「変更管理との紐づけ」「記録・エビデンスの整備」が大切です。
(1)見直し頻度は年1回で足りるのか
ISMSでは「年1回」が最低ラインですが、以下のようなイベントが発生した場合には臨時で見直しを行う必要があります。
| 見直しが必要なタイミング | 具体例 |
| 組織変更 | 大規模な組織改編、オフィス移転 |
| 新規システムの導入 | 新しい業務システムやSaaSの導入・乗り換え |
| 重大インシデントの発生 | 自社での事故、または世間で大きなセキュリティ事故が発生した場合 |
(2)変更管理との紐づけ
リスクアセスメントを「変更管理プロセス」に組み込むことで、システム導入や組織変更時にリスクが置き去りになることを防げます。これにより、常に最新の状況に即したリスク管理が可能になります。
(3)記録・エビデンスとして残すべきもの
審査では「実施した証拠」が重視されます。以下のドキュメントを最新化しておくことが必須となります。
| ドキュメント | 内容 |
| 情報資産台帳 | 最新の資産状況を反映 |
| リスク一覧表/リスク管理台帳 | 分析・評価の記録 |
| 評価ルール | リスク受容基準や算定方法 |
| 対策一覧/リスク対応計画書 | 誰が・いつまでに・何をするかの計画 |
| 改訂履歴 | 更新の経緯を記録 |
| 評価理由 | なぜそのリスクを受容/対応したのかの根拠(審査で最も確認されるポイント) |
7. 効率化する方法(Excelテンプレート・SaaSの活用)
リスクアセスメントの運用では、Excelによる管理が一般的ですが、年数が経つにつれて「更新漏れ」「属人化」「ファイルが重すぎて開かない」「計算式が壊れる」といった課題が発生しやすく、担当者交代のタイミングで運用が崩壊するケースも少なくありません。
また、資産・脅威・脆弱性を毎年“作り直し”になってしまったり、リスク対応が管理策と結びつかないといった問題も見られます。
(1)ツールで自動化できる部分
| 自動化機能 | 内容 |
| リスク評価の自動計算 | 発生可能性 × 影響度を自動算出 |
| 変更履歴管理 | 更新履歴を自動で記録し、属人化を防止 |
| 管理策との紐付け | リスク対応をISO管理策に自動で関連付け |
| 2022版管理策との整合チェック | 新規格への対応状況を自動確認 |
| 法規制・規格の自動更新 | ISO27001:2022対応表が自動提供される |
| 資産とリスクの紐付け | マスタ選択で入力が完了 |
| タスク通知 | 年1回の見直し時期をリマインド |
(2)品質向上・コスト削減のポイント
品質向上とコスト削減のポイントとして、まずExcelは「最初の設計」をしっかり作り込めば非常に強力なツールとして活用できます。しかし、従業員数が50名を超えたり、資産数が数百を超える規模になると、Excel管理の限界が顕著になり、担当者の残業時間といった見えないコストが増大してしまいます。
そのため、人員が少ない企業や中堅規模以上の企業では、SaaSを導入する方が負荷が低く、事務作業を効率的に削減できます。さらに、自動化を取り入れることで審査対応にかかる工数が半減するケースも多く、結果として「セキュリティ対策の検討」という本質的な業務により多くの時間を割けるようになります。
8.まとめ
本記事では「ISMS(ISO27001)のリスクアセスメント」をテーマに解説しました。
要点をまとめておきましょう。
リスクアセスメントの目的について
- リスクをゼロにするのではなく、許容可能なレベルまで下げることが目的
- 重要資産の優先順位付け、リスクの見落とし防止、経営者の意思決定支援につながる
リスクアセスメントの実施フロー(4ステップ)について
- 【準備】評価ルールの策定(発生可能性 × 影響度の基準設定)
- ①資産・脅威・脆弱性の洗い出し
- ②リスク分析(数値化)
- ③リスク評価(受容基準との比較)
- ④リスク対応(低減/受容/回避/移転)
実務でつまずくポイントについて
- 資産・脅威・脆弱性の洗い出しで「粒度がバラバラ」「SaaSを除外」などの失敗が多い
- グルーピングや標準リスト活用で効率化できる
リスクアセスメントの方法 3選について
- ベースラインアプローチ(標準準拠)
- 詳細リスク分析(詳細評価型)
- 組み合わせアプローチ(最も一般的)
→ 企業規模やリソースに応じた選び方を比較表で整理。
ISO/IEC 27001:2022改訂の影響について
- 管理策が114項目から93項目に再編され、新たに11項目が追加された
- リスク対応の段階で参照する管理策が変わり、SoAの作り直しやマッピングが必要になる
リスクアセスメント後の運用・更新について
- 年1回の見直しが最低ラインであり、組織変更や新規システム導入時など臨時見直しが必要
- 記録・エビデンスとして資産台帳、リスク一覧表、評価ルール、対策一覧、改訂履歴、評価理由を残すことが大切
効率化の方法について
- Excel管理の属人化や更新漏れの課題
- SaaS導入による自動化(リスク計算、変更履歴管理、タスク通知など)が有効である
- 自動化により審査対応工数を削減し、セキュリティ品質向上につながる
本記事を参考に、ISMSのリスクアセスメントの全体像を理解し、自社に合った方法で効率的かつ効果的に運用を進めていただければ幸いです。
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.