リスク評価について説明します
リスク評価
リスク評価には色々な手法があります。理想的には、リスクは発生時の「損失評価額」と「発生頻度」から求められ、下記のような数式で表されます。
リスク(金額/年)」=「損失評価額(金額/回)」×「発生頻度(回数/年)
この方法は、厳密なリスク分析が必要な場合には最適な手法といえます。しかし、損失評価額と発生頻度の想定は容易ではなく、高いリスク評価能力が求められます。
そこで、ここでは、ISMSにおいて参照されることの多い、「IT セキュリティマネジメントのガイドライン-第3部:ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)」より、「ベースラインアプローチ」*1)と「詳細リスク分析」*1)を併用した「組み合わせアプローチ」によるリスク分析方法を紹介します。
ベースラインアプローチは簡単にできる方法ですが、設定したセキュリティレベルと実態が乖離する場合には適切な効果が得られないという欠点があります。また、詳細リスク分析は、厳密なリスク評価が行えるものの多大な工数や費用がかかります。併用することで、ベースラインアプローチと詳細リスク分析の両方のメリットを享受できるようになります。
*1)「ベースラインアプローチ」と「詳細リスク分析」は、GMITS Part3においても、重要なリスクアセスメントの手法として紹介されています。
ベースラインアプローチ
ベースラインアプローチとは、後述する詳細リスク分析とは異なり、情報資産ごとにリスクそのものを評価しません。組織全体があるレベルのセキュリティ水準に達するべく、一般の情報セキュリティに関する基準や、業種や業界で採用されている標準やガイドラインなどを参照して、組織で確保すべきセキュリティレベルを決定し、これと現状の乖離(ギャップ)を分析し評価します。
ベースラインアプローチは、「ベースラインの決定」、「ギャップ分析の実施」の2つの手順で実施されます。
ベースラインの決定
既存の標準や基準をもとに、組織で確保すべきベースライン(独自の対策基準)を策定します。
ギャップ分析の実施
ベースラインで要求される管理のレベルに対し、現状の管理レベルを比較してギャップを分析します。「大きな差が認められる個所」、「明らかに管理策の適用を必要としている個所」、「過度に管理策が適用されている個所」などを発見したら、その情報資産に対して次の「詳細リスク分析」を行います。
ギャップ分析では、洗い出した情報資産の全てを対象とします。網羅的にベースラインに準拠しているかを確認するために、情報資産の全項目をカバーしたチェックシートなどを作成する必要があります。
詳細リスク分析
詳細リスク分析実施の目的は、ギャップ分析で発見された問題箇所について、重大なリスクの存在を明らかにすることです。機密性、完全性、可用性のそれぞれの視点からリスク評価します。
詳細リスク分析では、対象となる情報資産の価値や重要度をレベル分けし、それらに対してどのような脅威があるかを評価し、その脅威を誘引してしまう脆弱性を分析することで、リスクを定性的、相対的に評価します。
「リスク値」は、「情報資産の価値」、「脅威」、「脆弱性」の分析結果を数値で評価して算出します。
「情報資産の価値」は、「情報資産の洗い出しと分類」で明確にしているので、その結果を参照します。
| 脅威 | 発生しては困る事象、システムまたは組織に危害を与える事故の潜在的原因 |
| 脆弱性 | 固有の弱点、脅威によって影響を受ける内在する弱さ |
| リスク | ある脅威が脆弱性を利用して損害を与える可能性 |
情報資産に対する「脅威」の分析
脅威の評価
脅威とは、意図的または偶発的に発生する、情報資産に損害を与える可能性のことです。
脅威は、内在する脆弱性を利用します。脅威は意図的か偶発的か、人為的か非人為的かで分類します。脅威の大きさは、その要因や対象となる資産ごとに、その発生の可能性を評価して決定します。評価にどの程度の正確性を要求するかによりますが、「低い」、「中程度」、「高い」の3つの区分とする場合が多いようです。以下の図表に脅威の分類基準例を示します。
| 脅威(発生頻度) | ||
| レベル | クラス | 説明 |
| 1 | 低い | 発生する可能性は低い。発生頻度は1年に1回あるかないかである。 |
| 2 | 中程度 | 発生する可能性は中程度である。発生頻度は半年以内に1回あるかどうかである。 |
| 3 | 高い | 発生する可能性は高い。発生頻度は1か月に1回以上である。 |
内在する「脆弱性」の分析
脆弱性の識別
脆弱性とは、情報資産や人員の管理方法に由来する弱点のことです。
管理方法に問題があれば、弱点は大きく、脅威が表面化する可能性が高くなります。逆に、たとえ大きな脅威が存在していたとしても適切な管理が実施されていれば、弱点は小さく、深刻な問題には陥りません。
| 脆弱性の分類 | 脆弱性の例 |
| 環境及び基礎構造 |
|
| ハードウェア |
|
| ソフトウェア |
|
| 通信 |
|
| 文書 |
|
| 人事 |
|
脆弱性の評価
脆弱性の評価は、その資産の持つ弱点がどの程度であるかを評価することになります。
適切な管理策が講じられていて安全な場合は、脆弱性が低くなります。一方、管理策を実施しておらず、その弱点がむき出しであるような場合は、脆弱性は高いと判断できます。脅威同様、脆弱性に関しても、「低い」、「中程度」、「高い」などで区分します。脆弱性の分類基準例を以下の図表に示します。
| 脆弱性(問題発生の可能性) | ||
| レベル | クラス | 説明 |
| 1 | 低い | 適切な管理策が講じられていて安全である |
| 2 | 中程度 | 管理策の追加などにより改善の余地がある |
| 3 | 高い | 全く管理策が講じられておらず脆弱である |
情報資産の価値、脅威、脆弱性からリスク値を算出
リスク値の算出
リスク値は、上記のプロセスで明確になった「情報資産の価値」、「脅威の大きさ」、「脆弱性の度合い」を用いて、次のような式で算出します。にリスク値の計算例を示します。
リスク値=「情報資産の価値」×「脅威」×「脆弱性」
例)情報資産の種類:顧客情報(機密性:4、完全性:2、可用性:1)
脅威:3(全ての担当者がアクセス可能なので、意図的にあるいは偶発的に漏えいする可能性がある)
脆弱性:3(ID/パスワードだけでディスクの暗号化もされていない状況では、対策としては不十分である)
この場合のリスク値は次の通りになります。
- 機密性に関わるリスク値:4×3×3=36
- 完全性に関わるリスク値:2×3×3=18
- 可用性に関わるリスク値:1×3×3=9
リスク評価
リスク値を算出するために、以下の図表のようなマトリクス「リスク値早見表」を作成すると、効率的に作業を進めることができます。
| 資産価値 | 脅威(発生の頻度) | ||||||||
| 1 | 2 | 3 | |||||||
| 脆弱性 | |||||||||
| 1 | 2 | 3 | 1 | 2 | 3 | 1 | 2 | 3 | |
| 1 | 1 | 2 | 3 | 2 | 4 | 6 | 3 | 6 | 9 |
| 2 | 2 | 4 | 6 | 4 | 8 | 12 | 6 | 12 | 18 |
| 3 | 3 | 6 | 9 | 6 | 12 | 18 | 9 | 18 | 27 |
| 4 | 4 | 8 | 12 | 8 | 16 | 24 | 12 | 24 | 36 |
リスクが算出されたら、「リスク評価基準」と比較します。リスク評価基準は、経営層が受容可能なリスクの水準として、承認したものです。
例えば、受容可能なリスクの水準を資産価値4(C4:極秘)の資産を、発生頻度2の脅威に対してレベル1の強固な対策を講じる。(資産価値4×脅威2×脆弱性1=8)と決定した場合、リスク対応が必要となる資産は、脅威と脆弱性の観点から以下図表の白抜きの範囲になります。なお、リスク値の算出例では機密性、完全性、可用性ともリスク値は「8」以上なので、リスクに対して何らかの対策を講じる必要があるということになります。
| 資産価値 | 脅威(発生の頻度) | ||||||||
| 1 | 2 | 3 | |||||||
| 脆弱性 | |||||||||
| 1 | 2 | 3 | 1 | 2 | 3 | 1 | 2 | 3 | |
| 1 | 1 | 2 | 3 | 2 | 4 | 6 | 3 | 6 | 9 |
| 2 | 2 | 4 | 6 | 4 | 8 | 12 | 6 | 12 | 18 |
| 3 | 3 | 6 | 9 | 6 | 12 | 18 | 9 | 18 | 27 |
| 4 | 4 | 8 | 12 | 8 | 16 | 24 | 12 | 24 | 36 |
まとめ
本記事では、情報資産価値のリスク値を脅威や脆弱性から算出する具体的な方法について解説しました。リスク評価を把握し、正しい対策を行いましょう。
日本レコードマネジメントでは、電子文書管理の専門知識と豊富な経験を活かし、お客様のニーズに合った電子文書管理の体制を構築、提供いたします。お気軽にお問い合わせください。
本記事は、当社広報室にて発信しています。
