リスクアセスメントで始める効果的な情報セキュリティ対策

情報セキュリティの重要性が高まり続ける中、多くの企業でセキュリティ対策の強化が進んでいます。しかし、ネットワーク保護からエンドポイント対策まで、セキュリティ製品の選択肢は膨大です。「自社にどんなリスクが存在するのか」「どの製品から導入すべきか」と悩む担当者も少なくありません。そこで実施していただきたいのがリスクアセスメントです。本コラムでは、情報セキュリティにおけるリスクアセスメントの実践方法を解説します。

リスク管理の2つのアプローチ:ルールベースとリスクベース

リスク管理には「ルールベースアプローチ」と「リスクベースアプローチ」という2つの考え方があります。ルールベースアプローチは、あらかじめルールを定め、それを遵守することでリスクを低減する手法です。一見すると確実な方法に思えますが、実際には大小さまざまなリスクに対して網羅的に対策を講じることになります。これは予算やリソースが限られた企業にとって大きな負担となり、かえってリスク管理が行き詰まる原因となります。

そこで注目されているのがリスクベースアプローチです。リスクの大きさを評価して優先順位を決定し、経営資源を効率的に配分する考え方です。予算やリソースに制約がある場合でも、本当に対処すべきリスクに集中できるため、実効性の高いセキュリティ対策が実現できます。

リスクアセスメントとは何か

リスクアセスメントとは、リスクベースアプローチの中核となる手法で、「リスクの特定」「リスクの分析」「リスクの評価」という3つのプロセスで構成されます。このプロセスを通じて、組織が直面するリスクを発見し、その深刻度を測定します。もともとは安全工学の用語ですが、現在では情報セキュリティ分野でも広く活用されています。
※リスクアセスメントの定義や範囲は文献によって異なりますが、本コラムではISO 31000に記載されているリスクマネジメントのサブプロセスとしてのリスクアセスメントを解説しています。

情報セキュリティにおけるリスクアセスメントの必要性

情報セキュリティでは「とりあえず製品を導入すれば安全」と考えがちですが、セキュリティ製品の導入は必ずしも必須ではありません。まず自社の現状を把握し、本当に対策が必要なのか検討することが重要です。この「自社の現状を知る」プロセスこそがリスクアセスメントに該当します。

リスクアセスメントを実施せずに製品を導入すると、過剰な対策でコストが膨らむケースや、逆に重要な脆弱性が放置されるケースが発生します。次章からは、リスクアセスメントの実践的な手順を見ていきましょう。

ステップ1:リスクの特定

最初のステップはリスクの特定です。国際規格ISO 31000では「組織の目的達成を阻害、または妨げる可能性のあるリスクを発見し、認識し、記述すること」と定義されています。簡潔に言えば、自社にどのようなリスクが存在するかを洗い出すプロセスです。

また、定期的な訓練を実施し、詳細なフィードバックを提供することで、各従業員の弱点や改善点を明確にできます。繰り返し実施することで、疑わしい攻撃メールを見分ける能力が組織全体で着実に向上し、セキュリティ意識の文化が根付いていきます。

情報資産の洗い出し

リスクの特定で最初に行うべきは、自社の情報資産を洗い出すことです。情報資産とは、IPA(情報処理推進機構)によれば「企業として管理すべき対象として選定された情報」と定義されています。企業にとって価値のある情報で、次のようなものが該当します。

・顧客情報
・製品情報
・従業員情報
・財務情報
・事業計画
・取引先情報
・ノウハウ
・情報システムのID・パスワード など

これらの情報を洗い出しますが、業務フローや製品ライフサイクルなどから各場面でどのような情報が使われているか確認すると、漏れなく抽出できます。情報資産を洗い出したら、管理者やアクセス権、保存場所などとともに台帳に整理しましょう。これにより守るべき対象が明確化され、効率的な対策が可能になります。

IPA(情報処理推進機構)では中小企業向けにリスクアセスメントで活用できる「リスク分析シート」のExcelサンプルを公開しています。こちらも参考にするとよいでしょう。
IPA「中小企業の情報セキュリティ対策ガイドライン 付録7:リスク分析シート(全7シート)」
https://www.ipa.go.jp/security/guide/sme/about.html

IT資産管理ツールの活用

IT資産管理は、リスクの洗い出しにおける第一歩です。企業がITリソースを把握し、潜在的なリスクを効果的に特定・軽減する重要な手段として位置づけられます。

ハードウェア、ソフトウェア、ネットワークデバイスなどの資産を一元的に管理することで、未登録のデバイスや古いソフトウェア、セキュリティパッチが不足しているシステムといったリスクポイントを迅速に特定できます。これらのツールは資産のライフサイクル全体の情報を提供し、資産の状態、利用状況、セキュリティ状況を継続的に監視することが可能です。

コンプライアンスや財務的な観点からも、IT資産管理ツールは重要な役割を果たします。監査証跡の作成、資産使用状況の記録、不要な投資の防止、リソース配分の最適化を支援します。
ALSOKでは、セキュリティパッチの適用状況やソフトウェア一覧などを一元的に管理できるIT資産管理ソフト ISM Cloudoneを提供しています。

情報資産に対するリスクの特定

次に情報資産に対するリスクの洗い出しを行い、リスクを特定します。
例えば、「顧客情報」という情報資産をノートパソコンで保存しているとして、この場合のリスクを考えてみましょう。ノートパソコンは社外に簡単に持ち出せるため、紛失して顧客情報が流出するリスクがあります。また、インターネットに接続している場合、ウイルス感染などで情報が流出するリスクも存在します。このように情報資産に対してどのような事故や事象が起こり得るか列挙し整理していきます。
リスクの特定は一人で実施すると抜け漏れがある場合があるため、複数人で行うことが理想です。ブレインストーミング方式や既存のチェックリストを使うことも、抜け漏れを防ぐために有効です。

ステップ2:リスクの分析

リスクの特定を行った後は、洗い出したリスクを分析します。リスクの分析とは、リスクに対し評価軸を設定して各リスクがどの程度深刻なものなのか評価値を決定するプロセスです。評価値は、この後の「リスクの評価」で各リスクに優先順位をつける際の指標となります。安全工学では、一般に「危害の重さ」と「危険の発生頻度」を評価軸としてリスクに評価値を設定します。情報セキュリティでは「資産の重要度」と「発生可能性」を軸とすることが多いです。
「資産の重要度」とは、リスクが発生したときに企業の活動に与える影響の大きさです。企業活動への影響が大きいほど高く、影響が小さければ低く評価します。

例:漏えいすると取引先や顧客に大きな影響がある 評価値3
漏えいすると事業に大きな影響がある 評価値2
漏えいしても事業にほとんど影響はない 評価値1

「発生可能性」とは、そのリスクによって被害が発生する可能性の高さです。発生する可能性が高いほど高く評価します。

例:いつ発生してもおかしくない 評価値3
1年に一度程度発生する 評価値2
めったに発生しない 評価値1

「資産の重要度」と「発生可能性」をそれぞれ評価値を決めた後、その二つを掛け合わせた数値(リスク値)を求めます。
例えば、顧客の個人情報をUSBメモリに保存して持ち歩いている場合を考えます。顧客の個人情報なので「資産の重要度」は3、紛失対策をせずにUSBメモリを持ち歩いている場合、いつ紛失してもおかしくないので「発生可能性」は3となります。この二つを掛け合わせてリスク値は9となります。このように洗い出したリスクすべてに対してリスク値を求めます。リスク分析についても先ほど紹介したIPAの「リスク分析シート」にテンプレートがついていますので活用するとリスク分析をかなり楽に行うことができます。

ステップ3:リスクの評価

リスクの分析を行った後は、「リスクの評価」を行います。リスクの評価とは、リスク分析の結果をもとにリスクに対する対策を行うか行わないか判断するプロセスです。セキュリティ対策製品を導入するかどうかの判断を行うのもこのプロセスです。
リスク分析でリスク値が高かったものについては優先的にセキュリティ対策を行う必要があります。一方でリスク値の低いものについてはセキュリティ対策を行っても効果が薄い可能性があります。どこまでセキュリティ対策を行うかについては予算や経営層の意向がかかわってくるため一概には言えませんが、関係各所とコミュニケーションをとりながら対策を行うリスクと行わないリスクを選別します。
セキュリティ対策を実施するものについては、対策を実施した場合のリスク分析を再度行い、リスク値が許容できる範囲まで低減されているか確認しましょう。

よくある質問(Q&A)

まとめ