ISMSのリスク受容基準とは？リスクを受容するケースについても解説！

「ISMSのリスク受容基準って何？」

「基準ってどのように決めているの？」

このように疑問を抱く方もいるのではないでしょうか。

ISMSのリスク受容基準とは、自社で取り扱っている情報資産のリスクに対して、対策を行うかどうかを決定する基準を意味します。

全てのリスクに対して、同じような対策を行うのではなく優先順位をつけて効率的に対応をしていくことが求められます。

そのため、「どこまでなら受けれられるか」といった基準が重要になってくるのです。

本稿では、ISMSリスク受容基準について解説し、メリットについてもご紹介します。

本稿を読み終えていただければ、ISMSのリスク受容基準を理解し、なぜ受容基準が必要か理解していただけるでしょう。

1.ISMSのリスク受容基準とは？

前提として、ISMSでは、組織が抱える情報セキュリティのリスクを評価・対応・受容する過程を明確に定めることが求められます。

その中で、「ISMSのリスク受容基準」とは、自社で取り扱っている情報資産のリスクに対して、そのリスクの対策を行うかどうかを決定する基準を意味します。どの程度のリスクであれば組織として許容できるかを判断するための基準とも言えます。

2.ISMSのリスク受容って何？

このISMSのリスク受容は、情報セキュリティに関するリスクが発生した時に、特別な対策はせずにそのまま受け入れる戦略のことです。

簡単に説明すると、何でもリスクは存在するため、リスクの程度やリソースを考え、無視できるリスクであればあえて対策は講じずに済ませようというものです。

リスクを受容するケースには主に3つあります。

全てのリスクに対応することは難しいため、発生する確率が低く発生した場合の影響度も低いリスクに関しては、そのまま受け入れることも重要となります。

（1）リスクの影響力が小さい

リスクの影響力が小さいと、そのままそのリスクを受け入れることが多くあります。

実害がほとんどなく、攻撃されても業務に直接影響しない限定的な脆弱性のものであったり、他の手法によってカバーができるものは影響力が小さいリスクに該当します。

（2）セキュリティリスクを回避するための対策不足

サーバのOSに新たな脆弱性が見つかったり、当該脆弱性を回避するためのパッチが配布されていなかったりといった事象が該当します。

（3）コストに見合うリスク対応の効果がない

セキュリティリスクに対する対策を行うためにかかるコストが多額であったり、セキュリティリスクの発生確率が極めて低かったりなど、リスク対応効果がコストに見合わないといった事象が該当します。

3.なぜリスク受容基準が必要か

リスクアセスメントしたことで、組織には多くのリスクが洗い出されます。

ですが、全てのリスクに対して、同じような対策を行うのではなく優先順位をつけて効率的に対応をしていくことが大切です。

そのため、限られたコストや人的リソースの中で「どこまでなら受け入れられるか」といった基準が重要になってくるのです。

ISMSのリスク受容基準を設定することで、得られるメリットもあります。

• 判断基準がはっきりするため、担当者によるばらつきを防げる
• リスク受容が妥当かどうかを経営層が確認できる
• 内部監査やマネジメントレビュー、外部監査の際に説明責任を果たしやすい

このように、リスク受容の基準を決めることで、対処すべきリスクと、受け入れても問題ないリスクを分けることができ、経営資源をリスクの受容基準によって最適に配分することが可能になります。

4.リスク受容基準の決め方

では、リスク受容基準を考えていきましょう。

手法は様々ありますが、今回は①重要度②脅威③脆弱性の3つの観点でスコアを決めます。

• 合計スコアが「10」を超えた場合、リスク対応する必要がある
• 合計スコアが「10」未満の場合、リスクを受容する

上記のように仮定するとします。

（1）重要度

重要度のスコアは、情報セキュリティの３大要素である機密性・完全性・可用性の観点から数値化します。

機密性・完全性・可用性でそれぞれスコアを出して、合計してください。

■機密性(Confidentiality)

■完全性(Integrity)

■可用性(Availability)

（2）脅威

脅威のスコアは下記の観点で出しましょう。

（3）脆弱性

脆弱性のスコアは下記の観点で出します。

5.リスク受容基準の決め方の例

例として「履歴書」を取り上げます。

はじめに、重要度の機密性ですが、採用選考中であったり、入社前の個人情報もある場合は社外秘となるので、スコアは「2」になります。

次に完全性ですが、履歴書内の電話番号に誤りがあった際、連絡がとれなくなり業務に差しさわり発生するようであればスコアは「2」になります。

最後に可用性ですが、１日程度の利用停止があり会社全体または外部に影響を及ぼす場合に該当すると考えられるのでスコアは「2」になります。

結果として、重要度は「6」となります。

続いて脅威のスコアですが、履歴書を紛失してしまった場合業務停止にはならないものの信用を失うことにもつながるので、「2」とします。

最後に脆弱性のスコアですが、こちらも組織での履歴書の取り扱いを見て判断するため、「3」とします。

以上で各スコアが決まったので、合計スコアは「6+2+3＝11」となります。

先ほど決めた仮定基準である「10」を超えているので、履歴書は「リスク対応が必要」という結果になります。

今回は事例なので、スコア最低値が「5」で、最高値が「15」のため中央値である「10」を基準値として定めました。

まずはじめに、「10」を基準として一度リスクアセスメントを行うことをおすすめします。

基準値を低く設定すれば厳しくなりますし、逆に高く設定すればするほど易しくなるので、組織に合わせて基準値は調整する必要があります。

6.まとめ

ISMSのリスク受容基準とは、自社で取り扱っている情報資産のリスクに対して、そのリスクの対策を行うかどうかを決定する基準のことです。

ISMSにおけるリスク受容基準は、リスク対応を合理的に行うための非常に重要な枠組みです。

リスク受容基準はリスクアセスメントの前に設定するようにしましょう。

事業や環境の変化に応じ定期的に見直しを行うことで一貫性をもって行うことができます。

適切にリスク受容基準を運用していきましょう。

どのリスクを保有するかを考えるには、リスクの優先順位を決める作業も重要です。