ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)のリスク特定を実際にやってみる

2022年1月14日

ISMS(ISO27001)のリスク特定を実際にやってみる

ISMS(ISO27001)のリスク特定とは、どんなリスクがあるか見つけることです。
ISMS(ISO27001)リスク特定をする際は、情報の洗い出しから始めましょう。
リモートワークが増えた昨今、自宅のWi-Fiなどの通信環境から情報が漏洩する可能性もあります。しっかりと対策していきましょう。

1.ISMS(ISO27001)とは

情報セキュリティを管理する仕組みのことです。
情報セキュリティマネジメントシステム=Information Security Management System 頭文字を使った略称がISMS(ISO27001)です。 簡単に言うと、企業にとって大事な情報を管理し、守るためのルールを決めよう!ということです。

2.リスク特定とは

リスク特定とは、どんなところにリスクがあるのかを特定する活動を指します。
リスクの特定はあくまでもリスク管理を行うための1つにすぎません。

(1)リスク管理とは

以下3つの段階で考えていく必要があります。
第一段階「リスク特定」
第二段階「リスク分析」
第三段階「リスク評価」

リスク特定は第一段階にあり、第二段階、第三段階をする上で大事なのが情報セキュリティの構成する3つの要素(CIA)です。

(2)CIAとは

情報セキュリティの構成する3つの要素(CIA)とは以下からなります。
①機密性(Confidentiality)
②完全性(Integrity)
③可用性(Availability)

機密性、完全性、可用性は以下の認識で考えていきましょう。

①機密性=『外部に漏れない状態』
限られた人だけが情報を見れる、触れるように制限がかかっている状態
⇒IDやパスワードによる管理、ユーザーごとのアクセス権限の区別が代表的です。

②完全性=『正確かつ最新の状態』
改ざんなどから保護されていて、情報が最新な状態
⇒バックアップ体制の整備等が該当します。

③可用性=『利用可能な状態』
必要な時に必要な人が見れる、触れるよう状態
⇒リモートワークで、家から社内環境にアクセスするケースが増えてきました。
自宅から社内ネットワークに接続する際の体制整備なども求められるようになっています。

★ワンポイント
機密性ばかりを重視して、誰も見れない、触れない場所に情報を管理すると、使いたいときにすぐに使えないことになります。
また、アクセス権限を区別して管理をし、すぐに使える状態でも、改ざんされた情報では意味がない。 バランスを意識して、どこまでのリスクを許容できるかの観点で考えていきましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.リスク特定やってみた

今回は、自宅環境でのリスク特定についてご紹介します。
リモートワークも増えたので、まずは自宅にある情報の洗い出しをしてみましょう

ハード
家族の共同PC(保管場所:リビング)
Wi-Fiルータ(保管場所:リビング)
私用USB(保管場所:リビング)

ソフト
ウイルス対策ソフト(保管場所:家族の共同PC内)
エクセル(保管場所:家族の共同PC内)
ワード(保管場所:家族の共同PC内)
ZOOM(保管場所:家族の共同PC内)
勤怠管理ソフト(保管場所:家族の共同PC内)
インスタグラム(保管場所:家族の共同PC内)
ツイッター(保管場所:家族の共同PC内)

データ
お客様情報(保管場所:家族の共同PC内)

その他
印鑑(保管場所:寝室)

では次の項目で、「どの程度」のリスクなのか考えていきましょう。

4.CIAからリスクの算出

CIAについては、先ほど「2.リスク特定とは 」で説明しました。
先ほど洗い出した中から下記を1つピックアップして、CIAからリスクの算出をしてみましょう。
今回は、「お客様情報」でみていきます。

①機密性=『外部に漏れない状態のこと』
・リビングで仕事をしているため、家族等の第三者がデータを覗き見する可能性が高い
ママ友に話してしまうかも!
・娘がSNSにはまっており、家の中で写真を撮って投稿することが多い
⇒機密性×

②完全性=『正確かつ最新の状態』
・家族の共同PCなので、子供が誤ってデータをいじる可能性が高い
・デスクトップでの作業のため、バックアップを取らない
⇒完全性×

③可用性=『利用可能な状態』
・すぐにデータを触れる状態
⇒可用性◎

今の状態だと、リスクが高く、危険な状態とわかります。

5.リスクが高いものの対策

この環境では、情報が漏えいするリスクも高いため、対策を行う必要があります。
例えば、以下の対策を行うことが可能です。

①PC等のハード面について
・PCを家族用と仕事用で分ける
・仕事用PCは仕事部屋で管理し、僕しか触れないようにID・パスワードをかける

②PCを利用するルールについて
・仕事用PCを使用しない際は、鍵付きのキャビネットで保管する
・トイレの際には、ログオフする
・フォルダのルールを決め、情報を最新版管理する

③ソフト面の対策について
・ウイルス対策ソフトを自動更新で設定する
・毎日バックアップをする
一例ですが、様々な対策がありますので、リスクが許容できない場合は、対策していきましょう!

まとめ

ISMS(ISO27001)とは、情報セキュリティを管理する仕組みのことを指します。
リスク特定をする際は、情報の洗い出しから始めましょう。

情報セキュリティの構成する3つの要素(CIA)とは
①機密性(Confidentiality)、②完全性(Integrity)、③可用性(Availability)

リスクの算出する際は、CIAの観点で考えていきます。
CIAはバランスが大事です。リスクが高いとわかれば、対策を取りましょう!

「頭では理解できても、実際の業務に置き換えるとまだわからない…」というケースも多いと思います。
お困りの際は、是非コンサルタントにご相談ください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。