<景品表示法に基づく表記>本サイトのコンテンツには、商品プロモーションが含まれています。

ワンポイントWeb講座

情報セキュリティリスクアセスメントとは?~リスク対応の例と過去問についても解説

情報セキュリティリスクアセスメント

こんにちは、トシゾーです。

今回は、「情報セキュリティリスクアセスメント」に関する記事です。

「アセスメント」という言葉は聞きなれない方もいるかも知れません。

ざっくり言えば「評価」という意味。

つまり、情報セキュリティリスクマネジメントとは、

  • 「情報セキュリティのリスクを評価する」

ということですね。まずはリスクを正しく評価しない事には、適切な対応はできない、というわけです。

中小企業診断士試験の経営情報システムの科目でも、情報セキュリティの分野の問題は頻出です。

わかりやすく説明しますので、ITに苦手意識がある方も是非チェックしてくださいね。

情報セキュリティリスクアセスメントとは(概要)

「情報セキュリティリスクアセスメント」について、まずは、ざっくりと言葉の定義を確認しておきましょう。
言葉を分解して、それぞれの意味を書き出すと、以下のようになります。

  • 情報セキュリティ:情報資産について「機密性」「完全性」「可用性」の3つを保持すること
  • リスク:危険性または不確実性
  • アセスメント:評価

※なお、「機密性」「完全性」「可用性」を「情報セキュリティの3要素」と言ったりします。

つまり、情報セキュリティアセスメントとは

  • 情報資産の「機密性」「完全性」「可用性」(情報セキュリティの3要素)を脅かす危険性(不確実性)について、評価する

という意味です。

これでも、少し分かり難いですよね。というわけで、以下でくわしく説明します。

情報セキュリティとは

上記では、情報セキュリティについて、ざっくりと

  • 情報資産について「機密性」「完全性」「可用性」(情報セキュリティの3要素)を保持すること

と説明しました。

ここでは、「情報資産」「機密性」「完全性」「可用性」の4つについて補足します。

情報資産

企業や組織が持つ情報は、すべて「情報資産」です。パソコンのHDDやサーバのファイル、USBメモリの中に入っているデータはもちろん、ITとまったく関係のない紙の書類も情報資産の一部です。具体的には、

  • 営業情報
  • 顧客情報
  • 商品情報
  • 財務情報
  • 人事情報

など、企業や組織が外部に公開する/しない関わらず、様々な情報があります。これらすべてが情報資産となります。

機密性

情報セキュリティの3要素のうち、機密性とは、

  • 正当な権限を持つ人だけが、情報資産にアクセスできること

になります。当たり前ですが、一部の公開情報を除き、それぞれの情報資産は「取り扱いを許可された人」がいるはずです。
そのような方だけが、情報資産を利用できる状態であるよう、コントロール(管理)することで、情報漏えい等を防止することに繋がります。

完全性

完全性とは、

  • 情報が改ざんされたり、嘘のデータが含まれたり、あるいは喪失することなく、正確な情報が確実に保持されていること

になります。完全性が担保されないと、データそのもの価値が棄損されたり、最悪の場合、外部から企業としての信頼性を失うことに繋がりかねません。

悪意の有る無し(故意または過失)に関わらず、データの誤入力や喪失などは起こり得ますので、適切な管理が必要です。

可用性

可用性とは、

  • 正当な権限を持つ人が、必要な時に、適切かつ安全に情報にアクセスできること

です。機密性・完全性が担保されていても、正当な情報の利用にまで制限があることは企業や組織にとってマイナスです。
情報の持つ価値を最大限活かすためにも、可用性を満たすことは重要です。

情報セキュリティ(まとめ)

以上より、情報セキュリティの定義をまとめてみましょう。」

  • 企業や組織の持つあらゆる情報(情報資産)について、
  • それぞれの情報を扱う権限を持つ人だけがアクセスできるように管理し、
  • 情報の改ざん、不正確な情報の混入、喪失などがないことを確実にし、
  • そのうえで、情報を扱うべき人が、必要なときに適切かつ安全に扱うことができる

このような状態が「情報セキュリティ」となるわけです。

(参考)情報セキュリティの3要素以外の4要素

情報セキュリティの3要素以外に4つの要素を加えて「情報セキュリティの7要素」とする場合があります。

追加するのは、以下の4要素です。

  • 真正性:情報にアクセスする人や通信の相手が、間違いなく本人であることを確実にすること
  • 信頼性:意図した動作が確実に行われ、結果が担保できること
  • 責任追跡性:ネットやシステム上で発生した動作を追跡して、責任を追跡できること
  • 否認防止:特定の人物が起こした行動を、後から証明できること

一点留意して頂きたいのは、上記を加えて7要素とした場合でも、重要度が高いのは先の3要素であることには変わりありません。

これから情報セキュリティを学ぶ方は、まずは3要素を確実におさえ、4要素は概要を押さえる程度でも十分かと思います。

リスクとは

前述のとおり、一般的には、リスク=「危険性」または「不確実性」とされています。

情報セキュリティのリスクの場合は、

  • 情報セキュリティが満たされた状態を損ねる可能性

となりますが、ここに関わる要素として「脅威」と「脆弱性」があります。それぞれの意味は次のとおりです。

  • 脅威:リスク(危険性)を顕在化させるもの 例)サイバー攻撃、コンピュータウイルス、ヒューマンエラーなど
  • 脆弱性(ぜい弱性):脅威に突かれるとリスクが顕在化するような弱点: 例)システムのバグや不具合、情報セキュリティ体制や教育の不備など

情報セキュリティリスクの顕在化(セキュリティ事故の発生など)は、脅威とぜい弱性が揃って、はじめて起こり得ます。

たとえば、どんなに強力なサイバー攻撃を受けても、ぜい弱性が一切ない頑強な情報システムであれば、攻撃を受け付けないかも知れません。

一方、ある事業所において従業員教育が不十分でも、そもそも情報資産を置いていなければ、リスクは顕在化しないでしょう(少々非現実的な例ですが)。

以上、情報セキュリティのリスクとは、「脅威」と「脆弱性」の存在の有無や強弱によって左右されるものであり、

「脅威」と「脆弱性」の管理(コントロール)が重要なのです。

アセスメントとは

前述のとおり、アセスメントは一般的には「評価」と訳されます。

情報セキュリティリスクアセスメントの場合は、情報セキュリティリスクマネジメントの一部であり、

  1. リスク特定
  2. リスク分析
  3. リスク評価

の3つのプロセスに分かれます。

ちなみに、「④リスク対応」を含めたものが、情報セキュリティリスクマネジメントの全体像となります。

※情報セキュリティリスクマネジメントについては、後述します。

以下、➀リスク特定から③リスク評価まで、それぞれ説明します。

➀リスク特定

まずは、企業・組織内にどのような情報資産があるかを洗い出します。

その後、洗い出した情報資産のそれぞれについて、考えられ得るリスクを特定します。

前述のとおり、リスクを顕在化させるのは「脅威」と「脆弱性」ですから、

  • それぞれの情報資産に、どのような脅威や脆弱性が存在するのか

を考えることにより、リスクを特定しやすくなります。

②リスク分析

リスク分析とは、前項で特定したリスクの「特性」および「影響度(リスクレベル)」を調査したり分析したりすることです。

③リスク評価

リスク評価とは、リスク分析の結果をもとに、

  • それぞれのリスクが受容可能か(対応の必要があるのか)
  • 対応が必要なリスクのうち、対応の優先順位はどうか

について評価することです。

以上、➀~③が、情報セキュリティリスクアセスメントの流れになります。

情報セキュリティリスクマネジメントとは

先にも少し触れましたが、情報セキュリティリスクマネジメントの全体像は以下のとおりです。

  1. リスク特定
  2. リスク分析
  3. リスク評価
  4. リスク対応

➀~③までは、情報セキュリティリスクアセスメメント(=リスクの評価プロセス)ですから、情報セキュリティリスクマネジメントは、

  • リスクの評価プロセス + リスク対応

という構成になるわけです。

以下、リスク対応について説明します。

リスク対応の種類

情報セキュリティリスクマネジメントのリスク対応において、具体的な方策(対応手段)は以下の4種類あります。

  1. リスク回避
  2. リスク低減(軽減)
  3. リスク受容(保有)
  4. リスク移転

それぞれのリスクに対し、「そのリスクの発生確率」および「そのリスクの大きさ」を分析して、どの対応手段を選ぶかを決定します。

それぞれの対応手段をくわしく見てみましょう。

リスク回避

リスク回避は、「リスクの大きさが甚大」かつ「リスクの発生頻度が高い」場合に選択すべき対応手段です。

リスク回避では、そもそもリスク発生原因となるものを無くして、完全にリスクが発生しないようにします。
たとえば、情報資産をすべて処分すれば、情報セキュリティ事故(インシデント)は起こらなくなりますよね。

このように、リスク回避は、ある意味、究極のリスク対策といえます。しかし、極端な対策となってしまうので、なかなか選びにくい対策であるのも実情です。

リスク低減(軽減)

リスク低減は、「リスクの発生頻度は高い」が、「リスクの大きさは、そこまで大きくない(ただし、受容はできない)」ケースに選ばれる対策です。

例としては、以下のようなものが挙げられます。

  • 災害による情報資産の喪失のリスクに備え、オフォスの耐震補強や水害対策など
  • 離れた地点に複数の拠点を作り、情報資産をそれぞれで管理
  • サイバー攻撃に備えた防御システムの強化
  • 情報資産取扱いマニュアルの改善と従業員に対するセキュリティ教育

リスク受容(保有)

リスク受容(保有)は、「リスクの発生頻度は低い」かつ、「リスクが発生した場合の影響は小さい(受容できる)」ケースに選ばれる対策です。

カンタンに言えば、対策をする費用よりも、あえてリスクを受けるほうが負担が小さい場合、何も対策をしないということです。

リスク移転

リスク移転は、「リスクの発生頻度は低い」かつ、「リスクの影響は大きい」ケースに選ばれる対策です。

たとえば、保険に入るなどして、リスクが発生した場合の負担を、他の組織等に移転する方策です。

中小企業診断士一次試験 経営情報システムの過去問解説

中小企業診断士試験の過去問から、情報セキュリティマネジメントに関する設問について、解説を記します。

令和4年度(2022年度)中小企業診断士1次試験経営情報システム 第17問

情報セキュリティマネジメントにおいては、情報セキュリティリスクアセスメン
トの結果に基づいて、リスク対応のプロセスを決定する必要がある。
リスク対応に関する記述とその用語の組み合わせとして、最も適切なものを下記
の解答群から選べ。
a リスクを伴う活動の停止やリスク要因の根本的排除により、当該リスクが発生
しない状態にする。
b リスク要因の予防や被害拡大防止措置を講じることにより、当該リスクの発生
確率や損失を減じる。
c リスクが受容可能な場合や対策費用が損害額を上回るような場合には、あえて
何も対策を講じない。
d 保険に加入したり、業務をアウトソーシングするなどして、他者との間でリス
クを分散する。

〔解答群〕
ア a:リスク移転  b:リスク低減  c:リスク回避  d:リスク保有
イ a:リスク移転  b:リスク保有  c:リスク回避  d:リスク低減
ウ a:リスク回避  b:リスク移転  c:リスク保有  d:リスク低減
エ a:リスク回避  b:リスク低減  c:リスク保有  d:リスク移転
オ a:リスク低減  b:リスク回避  c:リスク移転  d:リスク保有

【解説】

a 「活動の停止」や「要因の根本的排除」によって、「リスクが発生しない状態」とするのは、「リスク回避」にあたります。

b 「リスクの発生確率や損失を減じる」のは、リスク低減です。

c 「あえて何も対策を講じない」のは、リスク保有です。

d 「 他者との間でリスクを分散する」のは、リスク移転です。

よって、解答は【エ】になります。

RELATED POST