[情報セキュリティマネジメント試験]リスクアセスメント[無料講座・例題付き!]

2021年4月27日

今回は情報セキュリティマネジメント試験におけるリスクアセスメントについて学習します。

モナ
モナ
それではさっそく、リスクマネジメントの中のリスクアセスメントについて学習するニャ!
くろん
くろん
確かリスク分析やらリスク評価が含まれるにゃ

リスクアセスメント

リスクアセスメントの段階では、リスクの有無や被害の大きさ・発生可能性や頻度・そのリスクが許容範囲内かどうかを分析します。

モナ
モナ
内容としては

  • リスクマネジメント
    • リスクアセスメント
      • リスク分析
        • リスク特定
        • リスク算定
      • リスク評価
    • リスク対応
      • リスク回避
      • リスク低減
      • リスク共有
      • リスク保有
    • リスク受容
    • リスクコミュニケーション

に該当するニャ

その事前準備としてリスク基準も選定し、情報資産の洗い出しをしなければいけません。

具体的な流れとしては

  1. リスク基準の設定
  2. 情報資産の洗い出し
  3. リスク特定
  4. リスク算出
  5. リスク評価

になります。

事前準備

事前準備ではリスク基準の設定と情報資産の洗い出しを行います。

リスク基準の設定

リスク基準の設定はリスクアセスメントの事前準備として、評価基準と対応する値を決める段階です。

情報資産を

  • 機密性・・・ある情報にアクセスできる権限がある人のみがアクセスできる
  • 完全性・・・情報資産の正確さを維持し、改ざんさせない
  • 可用性・・・必要な時に必要な情報にアクセスできる

の観点から評価し、その情報資産が持つ脅威と脆弱性の影響の深刻さを判断します。

情報資産の洗い出し

情報資産の洗い出しでは、先に紹介した情報セキュリティ3要素の機密性・完全性・可用性の観点から、それぞれの情報資産の価値の重要度を示す評価基準を定めます。

機密性と完全性の例としては以下のようになります。

機密性の評価基準例
ランク 評価基準 価値
極秘 必要最小限の関係者にのみ開示する 3
関係者外秘 一部の関係者にのみ開示する 2
社外秘 社内にのみ開示する 1
公開 社外に公開している 0
完全性の評価基準例
ランク 評価基準 価値
A 業務への影響が大きい 3
B 業務への影響は中規模 2
C 業務への影響は小さい 1
D 業務への影響はない 0

リスクの大きさを表す値としてはリスクレベルで表します。

また、リスクレベルは

リスクレベル=情報資産の価値×脅威×脆弱性

で求めることができるため、判断基準を求めることができます。

カズ
カズ
脅威は情報資産を危険にさらす攻撃で、脆弱性は攻撃に弱い弱点の部分だよ!脅威と脆弱性が重なると一番マズいよ!
脅威の評価基準例
ランク 評価基準 スコア
A 発生可能性が高い 3
B 発生可能性は中 2
C 発生可能性は低い 1
D 発生可能性はない 0
脆弱性の判断基準例
ランク 評価基準 スコア
A 管理・対策が不十分 3
B ある程度の管理対策が施されている 2
C 適切な管理対策が施されている 1
リスク受容基準

リスクアセスメントの結果から、リスク対応するか、リスク保有するかの基準を決めます。

情報資産が持つ機密性・完全性・可用性の3つの観点から決める必要があり、需要可能なリスク基準としては一例として以下のように定めます。

  • 機密性・・・15以下
  • 完全性・・・12以下
  • 可用性・・・13以下
キュー
キュー
あくまで例やから、組織や状況によって変わってくるで
リスクを洗い出す

リスク基準を算定したら、実際に情報資産を棚卸しし、情報資産台帳を作成していきます。

情報資産 具体例
情報資産 ファイル・フォルダ・各研究データ・財務諸表 等
物的資産 コンピュータ・サーバ・タブレット・携帯電話 等
ソフトウェア資産 経理ソフト・研究ソフト・OS 等
人的資産 人・保有資格・スキル・経験 等
無形資産 組織の評判・イメージ 等
サービス Webサイト・通信サービス・計算処理 等

情報資産台帳に記入する流れは以下の通りです。

情報資産 用途 管理責任者 管理担当者 利用者の範囲 記憶形態 保存場所 保有年数
研究データ 研究 研究室長 Aさん 研究室 データファイル 研究室 5年
製造部サーバ 製造管理 工場長 Sさん 工場 サーバ J工場 10年
会計ソフト 財務会計 経理部長 Kさん 経理部 ソフトウェア 経理部 3年
契約書 営業 営業部長 Iさん 営業部 書類 営業部 7年
・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・ ・・・

ここまでがリスクアセスメントの手順となります。

リスク分析

リスク分析ではリスクを大きさを決めます。

具体的にはリスク特定とリスク算出が含まれています。

リスクを分析する手法としては以下の4つがあります。

  • ベースラインアプローチ・・・ベースライン(自組織の対策基準)を策定してチェックしていく手法です。取り組みやすい一方で選ぶべ0素ラインによっては求められる対策レベルが高すぎたり低すぎたりと合致しないこともあります。
  • 詳細リスク分析・・・情報資産に対して資産価値・脅威・脆弱性・セキュリティ要件を識別してリスク分析します。厳密なリスク分析ができる一方、時間や労力・専門知識が必要となってきます。
  • 組合せアプローチ・・・複数のアプローチを併用します。重要な資産には詳細リスク分析を、それ以外にはベースラインアプローチをといった具合です。
  • 非形式的アプローチ・・・コンサルタントや担当者の経験則にのっとって判断する手法です。短期で実施できるが、コンサルタントや担当者のレベルに依存するリスクが高まります。

リスク特定

リスク特定ではリスクを発見する段階になります。

例えば詳細リスク分析手法を用いた場合、セキュリティ3要素(機密性完全性可用性)の観点から基準に沿って情報資産の値を入力します。

その後、判断基準に照らし合わせてその情報資産が持つ脅威と脆弱性について記入します。

情報資産 脅威 脆弱性 リスクレベル 対策の必要性
資産名称 価値
機密性 完全性 可用性 概要 スコア 概要 スコア 機密性 完全性 可用性
研究データ 2 3 3 ウイルス感染 3 ウイルス対策ソフト適応済み 1
不正アクセス 3 テレワーク導入によるアクセス制御不備 3
誤操作 1 マニュアルの周知不足 2
カズ
カズ
さっきの表を見ながら入力していく流れだね!

リスク算出

リスク算出の過程では、リスクの結果の大きさと起こりやすさを求めます。

計算方法としては

リスクレベル=情報資産の価値×脅威×脆弱性で求めます。

例えば研究データと言う情報資産のウイルス感染における完全性のリスクレベルは

3(=研究データの完全性の価値)×3(=ウイルス感染の脅威のスコア)×1(=ウイルス感染の脆弱性のスコア)=9

となります

情報資産 脅威 脆弱性 リスクレベル 対策の必要性
資産名称 価値
機密性 完全性 可用性 概要 スコア 概要 スコア 機密性 完全性 可用性
研究データ 2 3 3 ウイルス感染 3 ウイルス対策ソフト適応済み 1 6 9 9
不正アクセス 3 テレワーク導入によるアクセス制御不備 3 18 27 27
誤操作 1 マニュアルの周知不足 2 4 6 6
キュー
キュー
分かりやすいように色付けてあるで

リスク評価

リスク評価では、算出した値が許容範囲内かどうかを決めるため、リスク分析の結果をリスク基準と照らし合わせます。

リスク基準においては設定した受容可能なリスク基準を超えるリスクレベルにおいては優先的に対応します。

機密性 20
完全性 25
可用性 25

この表と見比べると不正アクセスにおける対応が必要と分かるので、対策の欄に要と書きます。

情報資産 脅威 脆弱性 リスクレベル 対策の必要性
資産名称 価値
機密性 完全性 可用性 概要 スコア 概要 スコア 機密性 完全性 可用性
研究データ 2 3 3 ウイルス感染 3 ウイルス対策ソフト適応済み 1 6 9 9
不正アクセス 3 テレワーク導入によるアクセス制御不備 3 18 27 27
誤操作 1 マニュアルの周知不足 2 4 6 6
スポンサーリンク

リスクアセスメント・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

リスクアセスメントに関する記述のうち,適切なものはどれか。(FE H.26/秋)

ア 以前に洗い出された全てのリスクへの対応が完了する前にリスクアセスメントを実施することは避ける。
イ 将来の損失を防ぐことがリスクアセスメントの目的なので,過去のリスクアセスメントで利用されたデータを参照することは避ける。
ウ 損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。
エ リスクアセスメントはリスクが顕在化してから実施し,損失額に応じて対応の予算を決定する。

問2

JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)におけるリスク分析の定義はどれか。(H.30/秋)

ア 適切な管理策を採用し,リスクを修正するプロセス
イ リスクが受容可能か又は許容可能かを決定するために,リスク及びその大きさをリスク基準と比較するプロセス
ウ リスクの特質を理解し,リスクレベルを決定するプロセス
エ リスクを発見,認識及び記述するプロセス

問3

a~dのうち,リスクアセスメントプロセスのリスク特定において特定する対象だけを全て挙げたものはどれか。(H.29/秋)

〔特定する対象〕
a.リスク対応に掛かる費用
b.リスクによって引き起こされる事象
c.リスクによって引き起こされる事象の原因及び起こり得る結果
d.リスクを顕在化させる可能性をもつリスク源

ア a,b,d
イ a,d
ウ b,c
エ b,c,d

解説(クリックで展開)

リスクアセスメント・まとめ

今回はリスクアセスメントについて学習しました。

この段階でどのような指標を用いて計算するのか押さえておきましょう。

カズ
カズ
特にリスク評価の計算は午後問題で問われるよ!

次回はリスク対応について学習します。


スポンサーリンク