ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選

2021年10月29日

ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選

ISMS(ISO27001)のリスクアセスメントとは、リスク特定、リスク分析、リスク評価の一連のプロセスのことを指します。
ISMS(ISO27001)を構築する上でのリスクアセスメント法は、①ベースラインアプローチ、②非形式的アプローチ、③詳細リスク分析の3つがあります。
リスクアセスメントを行うことで、社内のリスクの全容を把握できます。

1.ISMS(ISO27001)のリスクアセスメントとは?

ISMSのリスクアセスメントとは、①リスク特定、②リスク分析、③リスク評価のプロセス全体のことを指します。

どのようなリスクがあるのか洗い出し、そのリスクにどのような影響があるのかを分析し、
どのくらい重要かを把握し、どう対策していくか決めていく活動のことです。

情報セキュリティにおけるリスクはたくさんありますが、どのようなリスクがあるかはその組織の状況によって異なります。

①リスク特定

リスク特定とは、どんなリスクがあるか見つける・洗い出すことです。

情報セキュリティにおけるリスクとは、情報セキュリティ3大要素である機密性・完全性・可用性を損なう要因のことを指します。

ではどうやってリスクを特定するのでしょうか。
リスクの特定と言われると、「会社にある情報資産を全て洗い出さないと・・・」「そもそも情報資産ってなんだっけ?定義は?」と悩んでしまうかもしれません。

組織にとって一番重要なことは、情報資産のリスクを軽減することです。

まずは日常業務で「これって大切な情報だよな」と思うものを洗い出していきましょう。
洗い出したものが重要資産であり、リスク対策ができているか確認しないといけない情報になるはずです。
その重要資産に対して、漏えい、滅失、毀損などの危険性がリスクになります。
事前に把握しておかないと漏えいなどのインシデントが起きてしまうかもしれません。
そのため、事前に危険性を確認しましょう。これがリスクの特定です。

②リスク分析

リスク分析とは、 ①で洗い出したリスクが

・どんな特性があるか
・どのくらい影響をもつものなのか

調査・分析することです。

そのリスクが発生したら組織にどんな影響があるのか、その影響の度合いはどれほどか、どこまでの範囲に影響があるかを分析することを指します。

③リスク評価

リスク評価とは、 ②で分析した結果をもとに、

・そのリスクをどうするか
・どのリスクを優先的に対応するか

判断材料を揃えることです。

以上の①~③のプロセスが「リスクアセスメント」になります。

ISMS(ISO27001)においては、リスクアセスメント後に「リスク対応」が待っています。

④リスク対応

リスクアセスメントを行ったら、必要なものにはリスク対応を行います。

リスク対応には大きく3つの方法があります。

リスク軽減:リスク発生の可能性を低くする・影響範囲を小さくする対策を施す
リスク回避:該当プロセスを辞める・機器の利用を辞めるなど、リスクの根本を絶つ
リスク移転:外部にリスクを移転する

ちなみに、リスク特定で洗い出されたけれども対応はしなくてよい、もしくはこれ以上は対応できない、 という評価になった場合は、リスク受容となります。

リスク受容:対策をせず、リスクは認知してもそのままにする

こちらの記事でもセキュリティリスクへの対応について解説しております。是非ご覧ください。
ISMS(ISO27001)におけるセキュリティリスクへの対応(4つの思考法)

2.情報セキュリティ3大要素のCIAとは?

ISMS(ISO27001)の重要なキーワードは、 情報セキュリティ3大要素の「CIA(機密性・完全性・可用性)」です。

機密性(Confidentiality)
その情報を見れる人が少ない状態のものです。
ですので当然外部に漏洩すると多大な影響に繋がる可能性のあるものを指します。

完全性(Integrity)
情報が正確な状態です。
もちろん情報が欠けていたり、古かったりも完全性ではない状態となります。
完全性を脅かすリスクを軽減していくのがリスク対策の1つとなります。

可用性(Availability)
必要な時にいつでも使える状態にしておくことです。
バックアップを取っていてもそれが肝心な時に復旧できなければバックアップの可用性は担保されていませんよね。

ISMS(ISO27001)はこの3つのCIAの観点のリスクを軽減し、マネジメントシステムとすることでリスク軽減対策を実施していく規格なのです。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.ISMS(ISO27001)のリスクアセスメント方法3選

リスクアセスメントで何をするかはお分かりいただけたでしょうか。
次に、リスクアセスメントの具体的な方法を3つご紹介します。

①ベースラインアプローチ

ベースラインアプローチとは、理想と現実のギャップがポイントです。
自社にとっての理想となるセキュリティ対策とはどのような状態で、どんなことをしている状態なのか、
それに対して現実の対策と状態はどうなっているかを把握すると「ギャップ」に気づくはずです。
ギャップ分析とも言います。

ギャップに対して情報セキュリティ対策を実施していく手段です。

②非形式的アプローチ

非形式アプローチとは、企業の経験や知識を活かしたり、 担当者の知識やセキュリティの専門家からの助言に基づき、リスクを特定・分析・評価していく手段です。

③詳細リスク分析

詳細リスク分析とは、リスク評価しやすくするために、詳細に管理体制や資産価値の確認および評価を行う手段です。
CIAごとに点数をつけたり、脅威・脆弱性をもとにスコアをつけたり、詳細に管理体制や資産価値の確認方法を決めていくということです。

※脅威 :リスクを発生させる要因を指します。
※脆弱性:脅威が発生しやすい性質のことです。

こちらの記事でもISMS(ISO27001)の構築について解説しております。是非ご覧ください。
ISMS(ISO27001)の構築前にやると差がつく11ステップ

まとめ

ISMS(ISO27001)におけるリスクアセスメントとは、リスク特定、リスク分析及びリスク評価のプロセス全体のことです。

簡単に説明すると、自社にとってどのようなリスクがあるのかを見つけ、そのリスクがどれほど社内にとって影響があるのかを分析し、 どのくらい自社にとって重要か把握し、どう対策していくかを決めていく活動を指します。
ISMS(ISO27001)を構築する上でのリスクアセスメント法は、①ベースラインアプローチ、②非形式的アプローチ、③詳細リスク分析の3つがあります。

以上、リスクアセスメントについて説明いたしましたが、 「頭では理解できても、実際にリスクアセスメントを行うとなるとよくわからない…」 というケースも多いと思います。

お困りの際は、是非無料相談でコンサルタントにご相談ください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。