ISMSにおけるリスク評価とは？初心者でもわかるように徹底解説！

「ISMSにおけるリスク評価とは何？」

「リスク評価があることでどんな役割を果たすの？」

と疑問に思う企業担当者様もいらっしゃるかと思います。

リスク評価（Risk Evaluation）はリスクアセスメントを構成する3つの最も重要なプロセスのうちの1つです。

なぜなら、情報資産に対する潜在的なリスクを特定・分析し、組織が情報セキュリティの目標達成に向けて、最も効果的かつ効率的な対策を優先順位をつけて実施できるようにする必要があるからです。

この記事では、リスク評価とは何か、そしてリスクアセスメントとはどのようなことかについて詳しく解説します。

読み終えていただければ、自社に潜むリスクを特定することができ、それらのリスクの影響を最小化するための対策方法がお分かりになるはずです。

1.リスク評価とは

リスク評価では、その前の過程にあたるリスク分析によって得られた発生可能性や影響度の大きさなどのデータを基に、どのリスクをより優先的に対応すべきか検討するために、リスク基準を設ける必要があります。

2.リスク評価がないと何が起こるか

(1)セキュリティリスクの把握・対策が不十分になる

情報資産にどのようなリスクがあるのか、そのリスクが発生した場合の被害規模はどの程度か、といったことが不明確なまま対策を進めることになり、効果的な情報セキュリティ対策が取れなくなります。

(2)情報漏洩時の説明責任を果たせない

万が一、情報漏洩事故が発生した場合、「適切な体制で管理していた」と説明するための根拠がなくなり、社会や取引先からセキュリティ対策意識が低いと判断され、信頼を失う可能性があります。

これらのことからリスク評価とは、リスクアセスメントの最終段階で、特定・分析されたリスクに対し、組織として「どのような対策を講じる必要があるか」「対策の優先順位」を決定するプロセスとして重要な役割を果たしています。

3.リスクアセスメントの効果

リスクアセスメントとは、職場に存在する「危険性や有害性」を特定し、それらがもたらす「労働災害や健康障害の重篤度」と「発生の可能性」を組み合わせることでリスクの大きさを評価し、リスクを低減または除去するための対策を検討・実行する一連のプロセスのことです。

リスクマネジメントには大まかに、リスク特定、リスク分析、リスク評価、リスク対応の4ステップがあります。

リスク評価は、一般的にリスクマネジメントプロセス全体の3番目のステップ、またはリスクアセスメントという一連の手順の3番目のステップとして位置づけられています。

労働安全衛生法第28条の2では、「危険性又は有害性等の調査及びその結果に基づく措置」として、製造業や建設業などの事業者に対してリスクアセスメントの実施が努力義務とされており、厚生労働省からは「危険性又は有害性等の調査等に関する指針」が公表され、その適切な実施を促進しています。

下記がリスクアセスメントの具体的な効果です。

• 職場の「危険」が明確になる
• 職場のリスクに対する認識を管理者を含め、職場全体で共有できる
• 安全対策の優先順位が明確になる
• 残されたリスクについて「守るべき決め事」の理由が明確になる
• 「危険」に対する感受性が高まる

これらにより、職場の安全衛生活動の質を高め、災害を根本から減らすための強力なツールとなり、組織全体の安全レベルを向上させるための「先手」となることでしょう。

4.リスク評価の具体例

上記の章でもリスク評価について説明しましたが、リスク評価とは、リスクアセスメントの最終段階で、特定・分析されたリスクに対し、組織として「どのような対策を講じる必要があるか」「対策の優先順位」を決定するプロセスのことです。

そのため、具体的には、指標となるリスク値を設けてそれぞれの情報資産を数値化し、評価を可視化します。
リスク値は、以下のように算出します。リスク値を出すことは必須ではありません。

『リスク値 = 重要度 × 発生率 × 脆弱性』

その後、自社で決めているリスク値の基準と照らし合わせ、情報セキュリティ対策の必要性について判断します。

（1） 重要度の算出

機密性、完全性、可用性の3つの要素から重要度を算出します。
そして、重要度が最も高いものを重要度のレベルとします。
基準の決め方についてはこちらを参照してください。

あわせて読みたい記事

ISMS(ISO27001)のリスク受容基準の決め方｜事例つき

ISMS（ISO27001）のリスク受容基準とは、自社で取り扱っている情報資産のリスクに対して、対策を行うかどうか決定する基準のことです。 ISMS（ISO27001）を構築する上で、リスク受容基準を…

• 機密性→2
• 完全性→2
• 可用性→3

重要度レベル→3となります。

重要度は最もリスク評価レベルの高い「可用性」になります。

（2） 発生率の算出

発生率は、どの程度そのリスクが発生するかを評価します。

まずは、発生率を決める根拠となる背景を考えます。

例えば、

• ノートパソコンを会社の机の上に置きっぱなしにしてしまい、情報漏洩の可能性がある
• ノートパソコンは、紛失の恐れがある

発生率レベル→2となります。

これらのように、発生率を決める根拠となる背景を考えます。

（3）脆弱性の算出

脆弱性は、そのリスクの管理基準について評価します。

まずは、脆弱性を決める根拠となる背景を考えます。

例えば、

• ノートパソコンを机の上に置いたままその場を離れないなど、ルールが規定されている
• ノートパソコンには暗証番号だけでなく生体認証が設定されている

脆弱性レベル→2となります。

これらのように、脆弱性を決める根拠となる背景を考えます。

（4）リスク値の算出

上記で算出できたレベルをもとに、リスク値を算出し、対応についてリスク評価を実施します。

3（重要度レベル）×2（発生率レベル）×2（脆弱性レベル）＝12

リスク値→12となります。

これらの方法でリスク値を算出することができます。

リスク値は、自社のリスク値の基準と照らし合わせて設定し、リスクへの対応をどうするかを判断します。

正しいリスク値を算出し、リスクへの対応を適切に行えるようにしましょう。

5.まとめ

リスク評価とは、リスクアセスメントを構成する最も重要な3つのプロセスのうちの1つであり、リスクアセスメントの最終段階で、特定・分析されたリスクに対し、組織として「どのような対策を講じる必要があるか」「対策の優先順位」を決定するプロセスのことです。

正しくリスク評価を行うためには重要度・発生率・脆弱性を算出する必要があります。

自社の安全を守るためには、正しく評価を行い、それに伴い適切な対応をすることが大切です。

リスクが発生してしまった場合、どのようにリスクを特定するのか。

そして、どのように分析をする必要があるのか。

きちんと、どのような対応方法をとるべきかということを整理しておきましょう。