2026年4月15日
ISMS(ISO27001)認証の取得や運用において、最初のステップである「リスク特定」が最も重要です。しかし、「リスク」と聞いても、何をどう守るべきか具体的に把握できていない企業は少なくありません。
この記事では、リモートワーク時代に高まる情報漏洩リスクに焦点を当て、ISMSで求められるリスクアセスメント(特定、分析、評価、対応)の手順を初心者にも分かりやすく解説します。
情報資産の洗い出し方から、リスクの数値化、対応方針の決定まで、効率的かつ確実に情報セキュリティ体制を構築するための基礎知識を身につけましょう。
1.ISMSにおけるリスク特定とは
ISMS(ISO27001)とは、情報セキュリティを管理する仕組みのことを指します。
情報セキュリティマネジメントシステム(Information Security Management System)の頭文字を使った略称がISMS(ISO27001)であり、企業にとって大事な情報を管理し、守るためのルールを決めることを意味します。
リスク特定とは、どんなところにリスクがあるのかを特定する活動を指します。
この活動は、ISMS(ISO27001)において、リスク管理を行うための第一段階に位置づけられます。
リスク管理は、以下の3つの段階で考えていく必要があります。
- 第一段階:「リスク特定」
- 第二段階:「リスク分析」
- 第三段階:「リスク評価」
ISMSで求められるリスクアセスメント(リスクを発見・分析・評価すること)は、リスク特定から始まります。
リスク特定を具体的に行うためには、次の手順で情報資産の洗い出しから始めることが必須です。
2.リスク特定:情報資産の洗い出しを行う
ISMS(ISO27001)のリスク特定をする際は、まず情報の洗い出しから始めることが必須です。情報資産とは、データやシステムだけでなく、紙の書類、サーバー、パソコン、USBメモリなども含まれます。
⑴自宅にある情報資産の洗い出し例
リモートワークが増えた昨今、自宅のWi-Fiなどの通信環境から情報が漏洩する可能性もあるため、自宅環境での対策が求められます。自宅にある情報資産の洗い出し例は以下の通りです。
| 分類 | 資産例 | 保管場所 |
|---|---|---|
| ハード | 家族の共同PC、Wi-Fiルータ、私用USB | リビング |
| ソフト | ウイルス対策ソフト、エクセル、ワード、ZOOM、 勤怠管理ソフト、インスタグラム、ツイッター | 家族の共同PC内 |
| データ | お客様情報 | 家族の共同PC内 |
| その他 | 印鑑 | 寝室 |
⑵社内における情報資産の洗い出し例
ISMS(ISO27001)のリスク特定は、まず情報資産の洗い出しから始めることが必須です。社内環境においては、自宅環境よりも多様な情報資産が存在します。
情報資産には、データやシステムだけでなく、紙の書類、サーバー、パソコン、USBメモリなども含まれます。
| 分類 | 資産例 | 資産の具体的内容 |
|---|---|---|
| ハード | サーバー、部署ごとのPC、USBメモリ | 顧客情報データが格納されたデータベースサーバーなど |
| ソフト | 基幹システム、会計ソフト、ウイルス対策ソフト | アクセス権限設定済みの顧客管理システムなど |
| データ | 機密情報、個人情報、契約書データ | 従業員の給与情報、顧客情報 |
| その他 | 紙の書類、印鑑 | 鍵のかかるキャビネットに保管された紙の顧客リスト |
⑶CIA観点からのリスク算出(評価)
リスクの算出は、情報セキュリティの構成する3つの要素であるCIA(機密性、完全性、可用性)の観点で考えていく必要があります。これらの要素を損なう要因が「リスク」であると定義されます。
| 要素 | 英語名 | 認識/定義 |
|---|---|---|
| ① 機密性 | Confidentiality | 『外部に漏れない状態』。 限られた人だけが情報を見れる、触れるように制限がかかっている状態。 |
| ② 完全性 | Integrity | 『正確かつ最新の状態』。改ざんなどから保護されていて、情報が最新な状態。 |
| ③ 可用性 | Availability | 『利用可能な状態』。必要な時に必要な人が見れる、触れる状態。 |
■リモートワーク時(自宅)のリスク算出例
洗い出した情報資産の中から「お客様情報」(保管場所:家族の共同PC内)をピックアップして、CIAからリスク
を算出する例です。
| CIAの要素 | リスク算出・評価 | 対策が不十分な場合の結果 |
|---|---|---|
| 機密性 | ×(低い) | リビングで仕事をしているため、家族等の第三者がデータを覗き見する可能性が高い。また、娘がSNSに写真を投稿することで情報が漏洩する可能性も考えられる。 |
| 完全性 | ×(低い) | 家族の共同PCなので、子供が誤ってデータをいじる可能性が高い。デスクトップでの作業のため、バックアップを取らない状態である。 |
| 可用性 | ◎(高い) | すぐにデータに触れる状態である。 |
この例の場合、現状ではリスクが高く、危険な状態にあるとわかります。情報漏えいリスクも高いため、PCを分ける、ID・パスワードをかける、バックアップを取るなどの対策を行う必要があります。
■社内におけるリスク算出例
社内で洗い出した情報資産の中から「社内サーバーに格納された顧客情報」をピックアップし、CIA観点からリスクを評価します。
| CIAの要素 | 評価の観点 | 社内でのリスク具体例 |
|---|---|---|
| 機密性 | 限られた人だけが情報を見れる状態か | 情報漏洩や誤送信のリスク。例えば、アクセス権限のない従業員が誤ってデータにアクセスする可能性がある。 |
| 完全性 | 改ざんから保護され、情報が最新な状態か | データの改ざんや入力ミスのリスク。例えば、システム障害時にバックアップ体制が不十分でデータが復旧できない。 |
| 可用性 | 必要な時に必要な人が利用できる状態か | システム障害やパスワードの紛失のリスク。例えば、サーバーが停止し、業務に必要なシステムにアクセスできなくなる。 |
この評価を踏まえ、特定されたリスク(情報漏洩、データ改ざん、システム障害など)に対して、その重要度、発生率、脆弱性の観点から詳細な分析を行い、リスク値 = 重要度 × 発生率 × 脆弱性を算出し、対処すべきリスクを決定します。
リスクの算出・評価をする際は、CIAのバランスが大事です。
機密性ばかりを重視しすぎると、必要な時に情報が使えなくなり(可用性の低下)、アクセス権限を区別してすぐに使える状態でも、改ざんされた情報(完全性の欠如)では意味がありません。どこまでのリスクを許容できるかという観点でバランスを意識して考えることが重要です。
3.リスク分析
リスク特定で洗い出した資産とそのリスク要因(CIAの欠如)に対し、具体的にどの程度のリスク値(大きさ)があるのかを算定するプロセスが「リスク分析」です。
前述のステップで特定されたリスクに対し、一般的には「資産価値」「脅威」「脆弱性」の3つの要素を組み合わせて分析を行います。
⑴リスク値を構成する3つの要素
資産価値 (Asset Value) その情報資産が組織にとってどれくらい重要かを示します。
例:顧客個人情報(高:3点)、社内ランチメニュー(低:1点)
脅威 (Threat) 資産に損害を与える要因が発生する頻度や可能性を示します。
例:サイバー攻撃、自然災害、機器の故障、操作ミスなど。
脆弱性 (Vulnerability) 資産を守るための対策の弱点や不備の程度を示します。
例:OSの更新をしていない、入退室管理がない、パスワードが単純など。
▼リスク値の算出式(例)
多くの組織では、以下のような計算式を用いてリスクを数値化(定量化)します。
リスク値 = 資産価値 × 脅威 × 脆弱性
⑵計算シミュレーション
例えば、「未更新のOSを使用しているサーバー(脆弱性:高)」にある「顧客データベース(資産価値:高)」に対し、「サイバー攻撃(脅威:中)」のリスクを分析する場合:
資産価値:3点(高)
脅威:2点(中)
脆弱性:3点(高)
リスク値 = 3 × 2 × 3 = 18
このように算出された数値(この場合は18)を基に、次の「リスク評価」のステップで、そのリスクが「受容できるレベルか」、それとも「直ちに対策が必要なレベルか」を判定します。数値化することで、対策の優先順位を客観的に決めることが可能になります。
4.リスク評価と対応方針の決定
「リスク分析」でリスクの大きさを数値化(例:リスク値18)した後は、そのリスクに対してどう対処するかを決める「リスク評価」のステップに進みます。ここでは、あらかじめ定めた基準と照らし合わせ、優先順位を決定します。
⑴リスク受容基準(リスク基準)と比較する
すべてのリスクをゼロにすることは現実的ではありません。
そのため、組織として「ここまでのリスクなら許容範囲(受容可能)」とするラインを引きます。これを「リスク受容基準」と呼びます。
受容基準値の設定例: 「リスク値 10以下は許容する」
判定:
リスク値 18(分析結果) > 基準値 10
結果: 基準を超えているため、何らかの対策(リスク対応)が必要。
⑵リスク対応の4つの選択肢
評価の結果、対策が必要と判断されたリスクについては、以下の4つの選択肢から対応方針を決定します。
- リスク低減
- リスク回避
- リスク移転
- リスク保有
①リスク低減
最も一般的な対応です。セキュリティ対策を導入して、発生確率や影響度を下げます。
具体例:「OSを最新版にアップデートする」「ウイルス対策ソフトを導入する」「アクセス権限を見直す」など。
②リスク回避
リスクの原因となっている活動そのものを停止・廃止します。
具体例:「情報漏洩のリスクが高い無料ファイル転送サービスの利用を禁止する」「リスクの高い事業から撤退する」など。
③リスク移転
リスクを他者(専門家や保険会社)に移します。
具体例:「サイバー保険に加入する」「セキュリティ運用を専門業者にアウトソースする」など。
④リスク保有
リスクがあることを認識した上で、あえて対策を行わずそのままにします(受容する)。
具体例:「対策コストが被害額を大幅に上回る場合」や「発生確率が極めて低い場合」に、経営層の承認を得て現状維持とする。など。
ISMSのリスクアセスメントの具体的な方法はこちらの記事で詳しく解説しています。
5.まとめ
ISMS(ISO27001)におけるリスクアセスメントは、組織が守るべき情報を明確にし、適切な対策を講じるための活動です。
まずは正確な「リスク特定」から 情報資産(ハード・ソフト・データ・書類など)を漏れなく洗い出し、それぞれの保管場所や利用状況を把握することがスタートラインです。
数値に基づいた「分析・評価」 「資産価値×脅威×脆弱性」の計算式を用いることで、感覚的な判断を排除し、客観的な優先順位付けが可能になります。
CIA(機密性・完全性・可用性)のバランスを考慮し、業務効率を下げない範囲で、組織のリスク受容基準に合わせた対応(低減・回避・移転・保有)を選択しましょう。
リスク環境は日々変化します。一度特定して終わりではなく、定期的な見直しを行い、最新の脅威に対応できる体制を整えていくことが大切です。
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービス紹介資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・当社の『サポート費用・内容』
- ・取得までの『スケジュール』
- ・コンサル会社を選ぶ際の『ポイント』
- ・認証パートナーと『他社との違い』
- ・お客様のお声
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.