組織が手軽に情報セキュリティを推進するための様々な知識・ノウハウを集めたサイトです。

リスク分析

リスクは、「組織の活動の遂行を阻害する事象の発生の可能性」と定義され、様々な機器、システム、組織など、あらゆるものに内在しています。これらの内在するリスクを正しく把握し、大きさを測定することにより、このリスクをどのように処置すべきかについて判断することが可能になります。このプロセスをリスク分析といいます。

リスク分析を正しく行うことにより、リスクを低減させる対策を効率的に行うことが可能になります。仮にリスクが内在したままの状態でも、事前にリスクの存在を正しく把握していることで、リスクが現実に発生してしまったときでも適切な対処が実施できます。

一般的には、「ベースラインアプローチ(チェックリストやアンケートに答えることによりセキュリティ上の問題点を洗い出し、ベースとなる既存の基準やガイドラインから管理策を選ぶ手法です。)」と下記で解説する「詳細リスク分析」を組み合わせた「組み合わせアプローチ」を取る方法が一般的です。(GMITSで推奨)

詳細リスク分析は大変なので、重要な情報資産の部分のみ詳細リスク分析を行い、全体にはベースラインアプローチで対処します。

【詳細リスク分析】

1.情報資産の洗い出し

まずは、守るべき情報資産を洗い出します。一般的に情報資産とは、コンピュータで処理されるデータやコンピュータそのもの、ネットワーク設備など様々なものがあります。また、顧客から預かった紙情報なども情報資産になります。同じ種類の情報資産でも存在する場所が異なれば、別の情報資産としての洗い出しが必要です。

組織の規模によりかなり膨大な数になるので、詳細リスク分析の適用範囲をあらかじめ絞り込んでおくことも必要です。

2.情報資産の評価

洗い出した情報資産に対してこれを数値化します。一般的には情報資産の重要度を3-4段階程度に評価します。ここで単純に情報資産を3段階に分けるのではなく、情報資産をセキュリティの3要素である、機密性、完全性、可用性の観点からそれぞれ3-4段階に分け、これらの平均値を取るやり方がより正確に評価できます。

情報資産の洗い出しと評価の例

担当部署 業務プロセス 情報資産 情報資産価値の分析(1-3)
機密度 完全性 可用性 重要度
総務部 各種申請 申請書
電子申請データ

3.脅威の洗い出しと評価

洗い出した情報資産に対して脅威を識別し評価します。具体的な脅威(攻撃)の内容を洗い出し、その発生頻度について、一般的には下記のように3段階程度に評価します。

脅威の評価値

  1. 脅威が顕在化する可能性は低い
  2. 脅威が顕在化する可能性は中程度
  3. 脅威が顕在化する可能性は高い

脅威の洗い出しと評価の例

担当部署 業務プロセス 情報資産 脅威の分析(1-3)
内容 発生源 攻撃法 大きさ
総務部 各種申請 申請書 漏えい 外部内部 コピー持出し
電子申請データ 改ざん 内部 なりすましによる虚偽申請

4.脆弱性の洗い出しと評価

洗い出した情報資産に対して脆弱性を識別し評価します。具体的な脆弱性の内容(とられている脅威に対するセキュリティ対策)を洗い出し、一般的には下記のように3段階程度に評価します。

脆弱性の評価値

  1. 適切なセキュリティ対策がとられている
  2. とられているセキュリティ対策に改善の余地がある
  3. セキュリティ管理策がとられていない

脆弱性の洗い出しと評価の例

担当部署 業務プロセス 情報資産 脆弱性の分析(1-3)
内容 大きさ
総務部 各種申請 申請書 部屋に鍵が掛かってない意図的な持ち出し
電子申請データ 申請時の認証が弱いサーバ室へ誰でも入れる

【リスクの評価

数値化された情報資産、脅威、脆弱性からリスクの大きさを算出します。一般的には情報資産の重要性、脅威の大きさ、脆弱性の大きさを掛け合わせたものがリスクの値となります。

[リスクの値]=[情報資産の重要度]×「脅威の大きさ]×[脆弱性の大きさ]

リスクの評価の例

担当部署 業務プロセス 情報資産 リスク値
総務部 各種申請 申請書
電子申請データ 18

算定されたリスクの値をリスク基準と比較するリスク評価を実施します。リスク基準とは、その組織にとってリスク値を低減させるような対策をとるかどうかの基準になります。

リスク分析からリスク評価の一連の流れをリスクアセスメントといいます。

リスクアセスメント
リスク分析 リスク因子を特定するための,及びリスクを算定するための情報の系統的使用
リスク評価 リスクの重大さを決定するために,算定されたリスクを与えられたリスク基準と比較するプロセス
PAGETOP