ISMSにおける情報セキュリティリスクアセスメントとは？重要なリスク対策を解説

ISO27001におけるマネジメントシステムを構築するために、情報セキュリティ方針を定めてリスクアセスメントを行う必要があります。

情報セキュリティに関するリスクとは、情報資産に対する何らかの影響を原因として、組織に被害が発生する可能性のことをいいます。リスクアセスメントはISOの認証取得のために必須となります。

ここでは情報セキュリティリスクアセスメントはどんなもので、どのようにリスクへの対策を講ずるべきかをご紹介いたします。

読み終えていただければ、必要な情報セキュリティリスクアセスメントを実施することにより、組織のリスクを把握して対策することができるでしょう。

1.ISMSの情報セキュリティリスクアセスメントとは？

情報セキュリティリスクアセスメントとは、ISMSのリスクマネジメント活動の一部です。

組織のリスクを洗い出し、そのリスクにどのような影響があるのかを分析し、どのくらい重要かを把握し、どう対策していくか決める活動のことです。

情報セキュリティにおけるリスクはたくさんありますが、どのようなリスクがあるかはその組織の状況によって異なります。

（1）リスクマネジメントとリスクアセスメント

ISMSのリスクマネジメントは以下のような手順で実施されます。

①リスク特定
②リスク分析
③リスク評価
④リスク対応

• リスク回避
• リスク移転
• リスク低減（最適化）
• リスク受容（保有）

この中の①〜③がリスクアセスメントと呼ばれます。つまり、リスクアセスメントはリスクに対応するまでの実施事項です。3章にてあらためて詳細を解説します。

④リスク対応については、こちらの記事で詳細に取り上げていますので、ぜひご参考ください。

あわせて読みたい記事

ISMSのリスクアセスメントとは？手順と実務ポイントを徹底解説

「ISMSのリスクアセスメントって具体的にどう進めればいいの？手順や方法がよくわからない」 このような疑問をお持ちではないでしょうか。 情報セキュリティの重要性が高まるなか、ISMS認証を目指す企業に…

（2）リスクアセスメントの目的

リスクアセスメントの目的は、情報セキュリティリスクを低下させ、組織の大切な情報資産を守ることです。

情報セキュリティが侵害されると、自社だけにとどまらず取引先にも悪影響を及ぼす可能性があるのです。そのためアセスメントを実施してセキュリティに関するリスクを低下させる必要があります。

2.リスクアセスメントで必要な情報セキュリティの3要素

1章でも述べたとおり、リスクアセスメントの目的は、情報セキュリティリスクを低下させ、組織の大切な情報資産を守ることです。

会社の情報に関する問題が起きることで、他社や取引先からの信頼が失われてしまう可能性があります。

例えば、取引先から預かったデータを漏えいしてしまった場合、それが個人情報や会社の情報であれば個人の責任だけでは済まされません。

そうならないためにも、リスクアセスメントが必要になってくるのです。

また、ISMSにおけるリスクアセスメントでは、以下の3つの情報セキュリティが必要になります。

（1）機密性

アクセス権限を持つ人だけがアクセスできる状態のことです。

情報を不正アクセスから守り、漏洩や改ざんなどが行われないようにすることです。

（2）完全性

情報に矛盾がなく、正確かつ最新である状態です。

情報が欠けていると、古いものは完全性とはいえない状態となります。

（3）可用性

必要な時にいつでも使える状態にしておくことです。

バックアップをとったり定期的な保守作業によって、システム障害の発生に備えます。

3章では、具体例として、紙に記載された従業員のマイナンバーを、鍵付きのキャビネットにて管理した場合、機密性、完全性、可用性がどのように当てはまるか解説していきます。

3.情報セキュリティの3要素と具体例

先程説明した情報セキュリティの3要素において、実際どのような状況があてはまるのか解説していきます。

（例）従業員のマイナンバー（紙）→鍵付きキャビネット（保管場所）

①機密性

従業員のマイナンバーは会社が従業員から預かっている個人情報の中でも特に機密性の高いもので、法令でも特定の担当者以外は見てはいけないことになっています。

担当者以外は開けられない鍵付きキャビネットで厳重に保管し、またその鍵の保管場所も限定的とすることが推奨されます。

②完全性

従業員から預かっているマイナンバーは各種手続き等で利用するため、預かっている12桁のマイナンバーに間違いがあると、手続きができない恐れがあります。

従業員からマイナンバーを預かる時にダブルチェックをするとよいでしょう。

③ 可用性

マイナンバーは各種手続き等で利用されますが、毎日使うものでもありません。

そのため常に使える状態にしておく必要はありません。

上記の例のように、情報セキュリティ3大要素の「機密性・完全性・可用性」の観点でリスクを軽減し、リスクアセスメントに組み込むことが求められます。

4.リスクアセスメントの手順

リスクアセスメントは具体的に次のような手順で行われます。

（1）リスク特定

どんなリスクがあるか見つける・洗い出すことです。

具体的には目に見える形でたくさんリストアップすることを目標に、想定するリスクを洗い出します。

まずは日常業務で大切だと思う情報を書き出します。

ここで出したものが重要資産であり、リスク対策が出来ているかどうか確認しなければいけない情報となります。

この重要資産に対して、機密性、完全性、可用性が損なわれていないか、事前に危険性を確認することが、リスクの特定になります。

具体的に事務所におけるリスク特定をする際は、ハード面とソフト面に分けて、情報の洗い出しを行います。

①ハード面

• デスクトップPC　　 →　保管場所：各個人デスク
• ノートPC　　　　　 →　保管場所：各個人デスク
• iPad　　　　　　　 　→　保管場所：各個人デスク
• Wi-Fiルータ　　　　 →　保管場所：事務所
• 社用USB　　　　 　　→　保管場所：各個人デスク
• 印鑑（代表印レベル） →　保管場所：鍵付きキャビネット

②ソフト面

• ウイルス対策ソフト（電子）　　 →　保管場所：各個人PC
• お客様情報（電子）　　　　　　 →　保管場所：クラウド
• 見積書・注文書・請求書（紙）　 →　保管場所：鍵付きキャビネット
• 見積書・注文書・請求書（電子） →　保管場所：クラウド
• 従業員情報（電子）　　　　　　 →　保管場所：クラウド
• 従業員のマイナンバー（紙）　　 →　保管場所：鍵付きキャビネット
• 勤怠管理情報（電子）　　　　　 →　保管場所：勤怠管理ソフト内

本来であれば会社全体で、リスクとして考え対策を講じたい項目についてすべて洗い出すのが望ましいです。

（2）リスク分析

特定したリスクの影響度や発生可能性を評価します。

具体的には、

• 発生確率：リスクに対してどの程度発生する可能性があるか
• 影響度：発生することで業務へどの程度の影響を及ぼすか

の2点で分析を行います。

（3）リスク評価

リスク分析で調査した結果をもとに、所定のリスク基準と比較して優先度を決定します。

具体的には指標となるリスク値を設けてそれぞれの情報資産を数値化し評価を可視化します。

優先度を決定して、情報セキュリティ対策の必要性について判断します。

5.リスクアセスメントの方法3選

リスクアセスメントの具体的な方法3つをご紹介いたします。

（1）ベースラインアプローチ（標準準拠）

（2）組み合わせアプローチ（最も一般的）

（3）詳細リスク分析（詳細評価型）

6.まとめ

ISMS（ISO27001）におけるリスクアセスメントとは、リスク特定、リスク分析及びリスク評価のプロセス全体のことです。

リスクアセスメントを有効活用するには、この2点がポイントになります。

①リスクアセスメントの本質を理解して、組織のリスクを把握し、対策するべきものの優先順位を明確にする

②評価基準の設定を明確にし、担当者ごとの判断のブレを抑える

これらのことを意識して、上記に挙げたリスクアセスメント方法を自社に合うよう、最適に組み合わせて実施してくださいね。