ISMS(情報セキュリティマネジメントシステム)における重要な取り組みの一つに「リスクアセスメント」があります。ISMS規格の管理策のリストに沿って検討するのが一般的ですが、リスクを特定する精度を高めたいなど、事情によっては別の手法を併用するのも有用です。
今回は業務の観点からリスクを洗い出す手法について考えます。
また、弊社では定額制ISMS運用支援サービス「情報セキュリティ倶楽部」をご提供しております。ISMSの運用でお困りごとのあるかたは、まずはお気軽に無料でご相談ください。
メール相談し放題! 柔軟・多彩なサポート内容!
業務の観点でセキュリティリスクを洗い出すとは?
セキュリティリスクの洗い出しにはさまざまな方法が存在します。
たとえば、何らかのガイドラインを参考に自社の対応状況を確認する方法や、自社の情報資産に関してリスクを特定していく方法があります。
ほかに、業務の観点からセキュリティリスクを洗い出す方法もあり、自社の業務プロセスや特定の工程においての情報セキュリティリスクを洗い出すことを指します。
業務からリスクを洗い出すメリット・デメリット
セキュリティリスクを業務から洗い出す方法のメリットとデメリットをまとめると以下になります。
- メリット
-
- うっかり見落としがちな業務プロセス上のセキュリティリスクを洗い出せる
- 普段、業務に感じる課題や効率化の案をリスクの洗い出しに反映できる
- リモートワークなど、事業環境の変更に応じた業務変更にも対応できる
- デメリット
-
- 認識可能なリスクイメージによって、洗い出しの粒度がバラバラになる
- 洗い出し基準が統一しにくく、多大な工数がかかる可能性がある
メリット
業務の観点からリスクを洗い出すことで、以下の3つのメリットがあります。
セキュリティリスクを漏らさず捕捉できる
ISMS(ISO27001)規格の管理策など、特定のガイドラインとの照合や、情報資産を起点にリスクの洗い出しを試みる場合、業務に関わるリスクを見落とす恐れがあります。ガイドラインは包括的なものに過ぎず、セキュリティリスクのあぶり出し方は個々に工夫して編み出すしかありません。
一番現実的でやりやすいのが、自社の情報資産ベースの洗い出しです。しかし、情報を扱う頻度や範囲が広ければ、一部の業務プロセスのリスクを見逃す可能性があります。
つまり、業務の観点からのリスク洗い出しは、情報資産の取り扱いの実態が見える化するので、セキュリティリスクをより正確に把握できるメリットがあるのです。
従業員の声を拾い上げるチャンス
業務からリスクを洗い出す場合、現場の従業員が日々感じている課題や対案を反映できるメリットがあります。
日々の業務のなかで「××が起きたらマズいから、発生率を減少できるようなルールが欲しいな」「○○関係のツール導入やルールを整備できたら、業務を効率化できるのに…」と感じていても、その声を反映する手段や、すくい上げる仕組みがなければ、そのまま放っておかれる可能性があります。
業務リスクの洗い出しにあたっては、現場から報告してもらうか、直接ヒアリングすることになります。情報セキュリティ部門や管理職の視点ではなかなか気がつかないことも、現場のセキュリティリスクに関する認識や対案など、この機会に表に出てくる効果が期待できます。
業務変更にも強い
業務起点での洗い出しは、事業環境の変更や業務プロセスの改訂に強いです。
情報資産からのリスク洗い出しは、対象の情報資産の性質からセキュリティリスクを考えます。情報資産は台帳管理を行い、情報の重要性や、媒体、関係する部署・担当、保存期間など、情報に紐づく基本情報を記録します。
ただ、社会情勢の変動や業務プロセスの変更など、情報の基本情報に影響がない事象が起きた場合のセキュリティリスクを見誤る可能性があります。
たとえば、新型コロナ対策のリモートワーク導入など、情報資産自体に変化がなくても、業務プロセスの変更にともなうリスク変容が起こることがあります。リスク変容はいずれ情報資産台帳に反映されるかもしれませんが、一番目のメリットと同様、実務プロセスがわからない状態だとリスクを見落とす可能性があります。
業務プロセス変更にともなう「リスクの再検討」を仕組みとして持っていれば、リスクの捕捉漏れは防げるでしょう。
デメリット
業務からリスクを洗い出すと、どんな粒度でどこまで洗い出すべきかを統一しづらく、出された結果の評価がしづらいデメリットがあります。同じ情報資産でも、職階や担当業務によってアクセス可能な範囲や内容が異なるため、評価がまちまちになる可能性があるためです。そこを誰がどう統一、結果を集約していくか、なかなか難しいところです。
反面、ISMS規格の管理策のようなガイドラインだと、検討範囲や基準が標準化・統一化されており、セキュリティリスクの洗い出しと評価をしやすくなっています。
業務ベースからリスクを探していくと、漏れなく探し出せるメリットがある反面、リスクの洗い出しが非効率になり、多大な工数がかかります。
業務からのセキュリティリスク洗い出しのやり方
ここでは、国際的な規範であるISMS規格のリスクアセスメントに準じ、業務からのリスク洗い出しを考えてみます。
リスクアセスメントの標準的な方法は、情報資産を軸に一律の基準で各部署を評価する形式を取ります。一方、今回紹介する方法は業務部門が主となり、業務内のセキュリティリスクを評価(精査)します。
業務プロセスとリスクの洗い出し
まずは精査対象となる業務プロセスと作業内容を特定します。
業務プロセスはできるだけ詳細に把握するのが望ましいですが、やみくもに進めては収集がつかなくなってしまいます。はじめに大まかな分類を設けて徐々に細目を洗い出していきましょう。業務の種別や、機能別、担当グループ別、作業場所別など、一定のルールに沿って各部門の業務を大まかに分類します。
次に、一連の業務の流れ図(業務フロー図)を作成します。細部を充実させるより、自社の業務範囲を一通り網羅すること、矛盾がないように留意しましょう。
その後、業務フローの各ポイントにおいて、情報資産の取り扱いの有無や、セキュリティリスクがありそうな作業がないかを検討します。
あくまでも情報資産はメインではなく、業務フローで扱われる一つの要素としてとらえます。顧客情報の取得や、連絡、内部処理のための利用(受注・配送など)など、業務で情報を扱う工程と作業、手順を問うことです。
ここで、判明した業務で情報を扱う場面で想定されるリスクを検討します。考えうる限りのリスクを洗い出せたら、次のリスク評価に移ります。
業務ごとにリスク値を評価
業務からのリスクの洗い出しが済めば、あとはISMSのリスクアセスメントと同様、リスク評価とリスク対応の検討に移りましょう。ここでも情報資産を軸に据えず、業務プロセスの工程・手順を対象に考えます。
ISMSのリスクアセスメントでは、すべてのリスクに対応するのは非現実的として、実用性と効率面から「リスク評価」の手法を取るのが一般的になっています。リスク評価とは一定の基準をもとに、個々のリスクをランクづけし、重要度に応じてリスクに対応するかを決める手法です。
- リスク評価の手順
-
- リスク基準の設定
- 個々のリスクのランクづけ
- ランクに応じた対応優先度を決定
- リスク受容の可否を決定
ここではリスク基準の策定法は割愛しますが、組織独自の基準を定めてもかまいません。リスク基準をもとに想定リスクをランクづけして、リスク度が高いと判定されるものから優先的に対応していくのが原則です。
なお、この手法ではセキュリティリスクの程度が軽微なものは、「リスク受容」により対応しないことも許容されます。
「リスク評価」について詳しくはこちらの記事をご参照ください。
まとめ
リスクアセスメントは既存のセキュリティガイドラインにある手法が一番手堅く、効率的に実施できます。ただし、既存の想定リスクの見直しや再検討において、別の側面から再考してみるのも有益です。より精度の高いリスクアセスメントを求めるなら、業務起点でリスクを洗い出してみてはいかがでしょうか。