[情報セキュリティマネジメント試験]リスクアセスメント[無料講座・例題付き!]
今回は情報セキュリティマネジメント試験におけるリスクアセスメントについて学習します。
リスクアセスメント
リスクアセスメントの段階では、リスクの有無や被害の大きさ・発生可能性や頻度・そのリスクが許容範囲内かどうかを分析します。
- リスクマネジメント
- リスクアセスメント
- リスク分析
- リスク特定
- リスク算定
- リスク評価
- リスク分析
- リスク対応
- リスク回避
- リスク低減
- リスク共有
- リスク保有
- リスク受容
- リスクコミュニケーション
- リスクアセスメント
に該当するニャ
その事前準備としてリスク基準も選定し、情報資産の洗い出しをしなければいけません。
具体的な流れとしては
- リスク基準の設定
- 情報資産の洗い出し
- リスク特定
- リスク算出
- リスク評価
になります。
事前準備
事前準備ではリスク基準の設定と情報資産の洗い出しを行います。
リスク基準の設定
リスク基準の設定はリスクアセスメントの事前準備として、評価基準と対応する値を決める段階です。
情報資産を
の観点から評価し、その情報資産が持つ脅威と脆弱性の影響の深刻さを判断します。
情報資産の洗い出し
情報資産の洗い出しでは、先に紹介した情報セキュリティ3要素の機密性・完全性・可用性の観点から、それぞれの情報資産の価値の重要度を示す評価基準を定めます。
機密性と完全性の例としては以下のようになります。
機密性の評価基準例
| ランク | 評価基準 | 価値 |
| 極秘 | 必要最小限の関係者にのみ開示する | 3 |
| 関係者外秘 | 一部の関係者にのみ開示する | 2 |
| 社外秘 | 社内にのみ開示する | 1 |
| 公開 | 社外に公開している | 0 |
完全性の評価基準例
| ランク | 評価基準 | 価値 |
| A | 業務への影響が大きい | 3 |
| B | 業務への影響は中規模 | 2 |
| C | 業務への影響は小さい | 1 |
| D | 業務への影響はない | 0 |
リスクの大きさを表す値としてはリスクレベルで表します。
また、リスクレベルは
リスクレベル=情報資産の価値×脅威×脆弱性
で求めることができるため、判断基準を求めることができます。
脅威の評価基準例
| ランク | 評価基準 | スコア |
| A | 発生可能性が高い | 3 |
| B | 発生可能性は中 | 2 |
| C | 発生可能性は低い | 1 |
| D | 発生可能性はない | 0 |
脆弱性の判断基準例
| ランク | 評価基準 | スコア |
| A | 管理・対策が不十分 | 3 |
| B | ある程度の管理対策が施されている | 2 |
| C | 適切な管理対策が施されている | 1 |
リスク受容基準
リスクアセスメントの結果から、リスク対応するか、リスク保有するかの基準を決めます。
情報資産が持つ機密性・完全性・可用性の3つの観点から決める必要があり、需要可能なリスク基準としては一例として以下のように定めます。
- 機密性・・・15以下
- 完全性・・・12以下
- 可用性・・・13以下
リスクを洗い出す
リスク基準を算定したら、実際に情報資産を棚卸しし、情報資産台帳を作成していきます。
| 情報資産 | 具体例 |
| 情報資産 | ファイル・フォルダ・各研究データ・財務諸表 等 |
| 物的資産 | コンピュータ・サーバ・タブレット・携帯電話 等 |
| ソフトウェア資産 | 経理ソフト・研究ソフト・OS 等 |
| 人的資産 | 人・保有資格・スキル・経験 等 |
| 無形資産 | 組織の評判・イメージ 等 |
| サービス | Webサイト・通信サービス・計算処理 等 |
情報資産台帳に記入する流れは以下の通りです。
| 情報資産 | 用途 | 管理責任者 | 管理担当者 | 利用者の範囲 | 記憶形態 | 保存場所 | 保有年数 |
| 研究データ | 研究 | 研究室長 | Aさん | 研究室 | データファイル | 研究室 | 5年 |
| 製造部サーバ | 製造管理 | 工場長 | Sさん | 工場 | サーバ | J工場 | 10年 |
| 会計ソフト | 財務会計 | 経理部長 | Kさん | 経理部 | ソフトウェア | 経理部 | 3年 |
| 契約書 | 営業 | 営業部長 | Iさん | 営業部 | 書類 | 営業部 | 7年 |
| ・・・ | ・・・ | ・・・ | ・・・ | ・・・ | ・・・ | ・・・ | ・・・ |
ここまでがリスクアセスメントの手順となります。
リスク分析
リスク分析ではリスクを大きさを決めます。
具体的にはリスク特定とリスク算出が含まれています。
リスクを分析する手法としては以下の4つがあります。
- ベースラインアプローチ・・・ベースライン(自組織の対策基準)を策定してチェックしていく手法です。取り組みやすい一方で選ぶべ0素ラインによっては求められる対策レベルが高すぎたり低すぎたりと合致しないこともあります。
- 詳細リスク分析・・・情報資産に対して資産価値・脅威・脆弱性・セキュリティ要件を識別してリスク分析します。厳密なリスク分析ができる一方、時間や労力・専門知識が必要となってきます。
- 組合せアプローチ・・・複数のアプローチを併用します。重要な資産には詳細リスク分析を、それ以外にはベースラインアプローチをといった具合です。
- 非形式的アプローチ・・・コンサルタントや担当者の経験則にのっとって判断する手法です。短期で実施できるが、コンサルタントや担当者のレベルに依存するリスクが高まります。
リスク特定
リスク特定ではリスクを発見する段階になります。
例えば詳細リスク分析手法を用いた場合、セキュリティ3要素(機密性・完全性・可用性)の観点から基準に沿って情報資産の値を入力します。
その後、判断基準に照らし合わせてその情報資産が持つ脅威と脆弱性について記入します。
| 情報資産 | 脅威 | 脆弱性 | リスクレベル | 対策の必要性 | |||||||
| 資産名称 | 価値 | ||||||||||
| 機密性 | 完全性 | 可用性 | 概要 | スコア | 概要 | スコア | 機密性 | 完全性 | 可用性 | ||
| 研究データ | 2 | 3 | 3 | ウイルス感染 | 3 | ウイルス対策ソフト適応済み | 1 | ||||
| 不正アクセス | 3 | テレワーク導入によるアクセス制御不備 | 3 | ||||||||
| 誤操作 | 1 | マニュアルの周知不足 | 2 | ||||||||
リスク算出
リスク算出の過程では、リスクの結果の大きさと起こりやすさを求めます。
計算方法としては
リスクレベル=情報資産の価値×脅威×脆弱性で求めます。
例えば研究データと言う情報資産のウイルス感染における完全性のリスクレベルは
3(=研究データの完全性の価値)×3(=ウイルス感染の脅威のスコア)×1(=ウイルス感染の脆弱性のスコア)=9
となります
| 情報資産 | 脅威 | 脆弱性 | リスクレベル | 対策の必要性 | |||||||
| 資産名称 | 価値 | ||||||||||
| 機密性 | 完全性 | 可用性 | 概要 | スコア | 概要 | スコア | 機密性 | 完全性 | 可用性 | ||
| 研究データ | 2 | 3 | 3 | ウイルス感染 | 3 | ウイルス対策ソフト適応済み | 1 | 6 | 9 | 9 | |
| 不正アクセス | 3 | テレワーク導入によるアクセス制御不備 | 3 | 18 | 27 | 27 | |||||
| 誤操作 | 1 | マニュアルの周知不足 | 2 | 4 | 6 | 6 | |||||
リスク評価
リスク評価では、算出した値が許容範囲内かどうかを決めるため、リスク分析の結果をリスク基準と照らし合わせます。
リスク基準においては設定した受容可能なリスク基準を超えるリスクレベルにおいては優先的に対応します。
| 機密性 | 20 |
| 完全性 | 25 |
| 可用性 | 25 |
この表と見比べると不正アクセスにおける対応が必要と分かるので、対策の欄に要と書きます。
| 情報資産 | 脅威 | 脆弱性 | リスクレベル | 対策の必要性 | |||||||
| 資産名称 | 価値 | ||||||||||
| 機密性 | 完全性 | 可用性 | 概要 | スコア | 概要 | スコア | 機密性 | 完全性 | 可用性 | ||
| 研究データ | 2 | 3 | 3 | ウイルス感染 | 3 | ウイルス対策ソフト適応済み | 1 | 6 | 9 | 9 | |
| 不正アクセス | 3 | テレワーク導入によるアクセス制御不備 | 3 | 18 | 27 | 27 | 要 | ||||
| 誤操作 | 1 | マニュアルの周知不足 | 2 | 4 | 6 | 6 | |||||
リスクアセスメント・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
リスクアセスメントに関する記述のうち,適切なものはどれか。(FE H.26/秋)
ア 以前に洗い出された全てのリスクへの対応が完了する前にリスクアセスメントを実施することは避ける。
イ 将来の損失を防ぐことがリスクアセスメントの目的なので,過去のリスクアセスメントで利用されたデータを参照することは避ける。
ウ 損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。
エ リスクアセスメントはリスクが顕在化してから実施し,損失額に応じて対応の予算を決定する。
問2
JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)におけるリスク分析の定義はどれか。(H.30/秋)
ア 適切な管理策を採用し,リスクを修正するプロセス
イ リスクが受容可能か又は許容可能かを決定するために,リスク及びその大きさをリスク基準と比較するプロセス
ウ リスクの特質を理解し,リスクレベルを決定するプロセス
エ リスクを発見,認識及び記述するプロセス
問3
a~dのうち,リスクアセスメントプロセスのリスク特定において特定する対象だけを全て挙げたものはどれか。(H.29/秋)
〔特定する対象〕
a.リスク対応に掛かる費用
b.リスクによって引き起こされる事象
c.リスクによって引き起こされる事象の原因及び起こり得る結果
d.リスクを顕在化させる可能性をもつリスク源
ア a,b,d
イ a,d
ウ b,c
エ b,c,d
解説(クリックで展開)
リスクアセスメント・まとめ
今回はリスクアセスメントについて学習しました。
この段階でどのような指標を用いて計算するのか押さえておきましょう。
次回はリスク対応について学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
