ISMSリスクアセスメントとは?
ISMS認証に向けたマネジメントシステムの構築には、リスクマネジメントが不可欠となりますが、いったい「リスクマネジメント」とはどのようなことをさし、ISMS認証に向けてどのようなことをしたら良いのでしょうか。ここでは、ISMS認証のリスクアセスメントの実施に向けた概要や手順をわかりやすく解説していきます。
まず基本的な考え方を理解するために、リスクアセスメントのリスクの特定・分析・評価といった一連の流れを紹介しますので、具体的にどのような作業が必要になるのかをイメージしてみてください。加えて、リスクアセスメントが有効活用できていないケースや、情報資産の重要度を決める方法などを通して、リスクアセスメントにおけるポイントについてもみていきましょう。
ISMSのリスクアセスメントの流れについて
リスクアセスメントとは?
リスクアセスメントとは、組織で扱っている情報にどのようなリスクがあるのかを明確にし、そのリスクが組織にどの程度の影響を及ぼすのかや、どれくらい重要性が高いのかといったことを洗い出す一連の作業のことです。
ISMSリスクアセスメントの流れ
リスクアセスメントには「リスク特定」「リスク分析」「リスク評価」という主に3つのプロセスがあります。ここでは簡単にその3つのプロセスにおける作業内容を見ていきましょう。
- リスク特定
- リスク分析
- リスク評価
リスク特定とは、ISO27001における情報セキュリティの三大要素である「可用性・機密性・ 完全性」を損なう要因を明確にすることです。組織がもつ情報資産をすべて洗い出し、業務ごとあるいはファイルの保存場所といったように分類します。
リスク分析とは、リスク特定を経て明確にされたリスクが、組織にどれほどの影響力を持つのかを調べることです。
リスク評価とは、そのリスク分析の調査内容をもとに、リスクの重要性や影響力を考慮して、組織的にそのリスクにどう対応するのかを整理することです。
以上のプロセスを経てリスクの影響力や重要性を洗い出したうえで、そのリスクに対し組織的にどう対応していくのかを事前に判断することが、リスクマネジメントの目的となります。
リスク分析について
ISMSリスクアセスメントの一連の流れのなかで、とりわけ重要なのがリスク分析です。リスク分析では、リスク特定で洗い出した情報資産についてどの情報資産にどのようなリスクが伴うかのかを情報セキュリティの三大要素である「可用性・機密性・ 完全性」に基づいて分析します。たとえば、次のような例が挙げられます。
- 可用性を損なうリスク…データの破損、サーバーの停止、パスワード忘れによって情報にアクセスができなくなる
- 気密性を損なうリスク…メールの誤送信、ウイルス感染、データ端末の紛失、プライベートの会話や情報発信による情報漏えい
- 完全性を損なうリスク…ウイルス感染、プログラムの誤作動、入力ミスによるデータ書き換えや改ざん
リスクアセスメントが有効活用できていないケースから原因
リスクアセスメントを実施しているにもかかわらず、それを有効活用できず、効果が感じられない場合には、リスクアセスメントの見直しが求められます。リスクアセスメントがうまくいかない場合の原因として考えられるのが、次の3つ。
- リスクアセスメントの仕組みが組織の業務プロセスと適合していない
- リスクアセスメントの手法が複雑すぎて、プロセスが有効化できていない
- リスク評価の基準が明確にされておらず、評価が定まらない
これらの原因に対する改善策を考える上で見直すべきポイントは、まず組織の業務実態に合った内容にすること。そして、ごくシンプルな内容に修正することもポイントです。現場の業務フローと照らし合わせてみて、それに沿った内容になっているかどうか。また、実際の業務内容と照らし合わせながら、リスクが発生する可能性や想定されるリスクの大きさを細かな項目ごとに数値化して明確にし、評価基準にばらつきが出ないようにしましょう。さらにそのうえで何を優先するべきか、どうするべきか、本当に必要な対策をもう一度見直してみると、リスクアセスメントが効果的に運用できるようになるはずです。
情報資産のリスクの重要度について
さきほどの「リスクアセスメントが有効活用できていないケースから原因」のセグメントでは、後半で「業務内容と照らし合わせ何を優先するべきかが重要である」という内容にも言及しました。それでは、優先順位をどのように考えて行けば良いのか、その際の判断材料となるのが「リスクの重要度」という指標です。
リスクアセスメントでは、情報セキュリティの三大要素である「可用性・機密性・ 完全性」を用いて、個々の情報資産がどれほどの「重要度」をもつのかを判断します。たとえば、「可用性1・機密性2・ 完全性3」の場合は「重要度3」または「可用性2・機密性1・ 完全性1」の場合は「重要度2」というように、「機密性・完全性・可用性」のうち、数値が最も高いものを「重要度の数値」とします。
まとめ
このページでは、ISMS認証で求められるリスクアセスメントについて解説してきました。組織のもつ情報資産を個々に評価し、リスクを明確に洗い出していくリスクアセスメントの作業には、大変な手間と多くの時間がかかります。また、実際に運営してみてからの改善や修正が必要となることもあるでしょう。しかし一度しっかりとした仕組みを構築できれば、効果的に運用できるようになり、組織のセキュリティシステムはいっそう強固なものになります。手を抜かずリスクアセスメントのプロセスを実行することで、しっかりとした情報セキュリティシステムを構築していきましょう。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。