情報セキュリティリスク分析と一口に言っても、では、実際どんなことをするのか、というとなかなかイメージがつきづらいものかと思います。
本記事では、リスク分析ではどんなことをするのか、リスク分析を効率化・効果最大化するリスク分析表についてお伝えします。
また、LRMでは情報セキュリティインシデント管理台帳を無料配布しています。こちらは、発生してしまったインシデントを管理する表ですが、リスク分析の参考になります。ぜひダウンロードしてみてください。
リスクを分類し一覧表にするリスク分析表とは
リスク分析表とは、現在の事業で想定されるリスクを洗い出し、それらリスクへの対策をリスト化して、リスクの低減を狙うものです。
例えば、Pマークは、個人情報保護法を遵守するための仕組みを構築・運用していることをマークによって示す制度ですので、リスク分析表が非常に重要な存在であり、リスク分析表の作成により、リスクに応じたセキュリティ管理体制の構築に役立てることができます。
リスク分析表に必要な内容
リスク分析表に必要な内容は以下になります。
- リスクの影響度合い
- リスクの発生確率
- 対策の内容と責任者
- 対策の実施期限
それぞれ解説します。
リスクの種類や発生原因
リスクが何に起因しているのかを明確にし、それに対してどのような対策が必要かを考えることが重要です。
リスクの影響度合い
リスクが発生した場合に、どの程度影響を与えるかを明確にする必要があります。影響度合いは、財務的損失、業務の遅延、ブランドイメージへの悪影響など様々な観点から評価されます。
リスクの発生確率
リスクが発生する可能性を評価することで、優先度や対策の選択肢を決定することができます。
対策の内容と責任者
リスクに対してどのような対策を実施するのか、そしてその責任者は誰なのかを明確にする必要があります。
対策の実施期限
対策をいつまでに実施するのかを明確にすることで、スケジュール管理やタスクの優先度を決定することができます。
以上のような情報をまとめて、リスク分析表に落とし込むことで、プロジェクトのリスクマネジメントを効果的に行うことができます。
リスク分析表作成の流れ
リスク分析表作成の流れは以下のようなものです。
- リスク発見
- リスク特定
- リスク算定/評価
それぞれ解説します。
リスクの発生確率と損害の大きさの二つの尺度によります。
1.リスク発見
まず、リスクの全体像を把握するために全体的に業務を見直していき、どんなリスクが潜んでいるか、発見することが必要となります。特に、個人情報を扱う業務には、様々なセキュリティリスクがあるため、より慎重に精査しましょう。
リスクの発見には、自社の業務内容を振り返るだけでなく、外部の第三者からの指摘も重要です。様々な観点から、できる限り多くのリスクを発見しましょう。
こちらのセキュリティチェックシートでリスクの発見が可能です。
2.リスク仕分け
次に、発見されたリスクの中から重大な影響を及ぼす可能性のあるリスクを仕分けします。
例えば、金銭的にも大きな被害が想定され、さらに企業の信頼を損ねる可能性があるのであれば、リスクマネジメントという損失の回避や低減を目指すための対策をする必要があります。
反対に、そのリスクがおこる頻度がそこまで高くなく、金銭的被害も少ないのであれば、リスクマネジメントの対象とする必要がないといえるでしょう。
このように、リスクマネジメントの対象にするかどうか仕分けしていきます。
3.リスク算定/評価
リスクの仕分けを終えたら、リスクマネジメントの対象になったリスクの重要度を算定し、そのリスクの発生確率とリスクが起きたときの損害の要素で、総合的に算定します。
そして、算定したリスクからリスクマネジメントとして、対策を実施するのかどうか重要度の評価(ランク付け)をしましょう。
この評価を踏まえて、どの順番でどのような対策を実施するか方針を固めましょう。
また、この一連の流れは、1度で完璧に実施できることはあまりありません。その理由は、発見できていなかったリスクが存在したり、事業内容の変更で大きく変わってしまうからです。
そのため、最初から高い精度でリスク分析をしようとするよりも、素早く、何度もリスクマネジメントをして、継続的なリスク分析をおこないましょう。
リスクを分類し一覧表にした後は対策を決める
ここまでで、分類・一覧化したリスクに対しては、優先度順に対策を決定して進めましょう。
順番に対応していっているうちにリスクが現実となり、取り返しのつかないことになってしまう可能性もあります。事業・経営へのインパクトの大きいものは、なるべく早めに取り組むべきです。
また、リスクへの対策には、大きく分けて下記の4種類があります。
- リスク回避
- リスク低減
- リスク移転
- リスク保有
その他にも、ISO27000では7種類の対策がリスク対応の種類として定められています。
このあたりは、「リスク管理のカギはリスク対応計画にあり|流れと役割とは」で詳しく説明していますので、参照してください。
リスク分析表作成の注意点
リスク分析表の作成にあたっては、情報資産に関する情報や価値を把握することが必要です。
情報資産とは、企業や組織にとって重要な情報のことであり、それを守るためにリスク分析を行う必要があります。情報資産を把握することで、リスク分析表に必要な項目や対策が明確にできます。
リスクマネジメントには、先述した3つのステップがあります。この流れを丁寧に実施して、リスク分析表を作成することで、漏れや不備を防ぎ、効率的にリスク分析を進めることができます。
情報の分類や取り扱い方針について十分に考慮しましょう。
また、リスク分析表は継続的に更新される必要があり、環境の変化や新たな脅威に対応するために、定期的な見直しと改善が必要です。
リスク分析表作成に有効なガイドライン
ここまで、リスク分析表の作成方法について解説しました。
ですが、実際にリスク分析表を作成するにしても、見本となる資料や指針となるサイトが無いと、スムーズな制作は難しいでしょう。
そこで、リスク分析表についての詳しく解説しているファイルをまとめてみました。リスク分析表を作成するのに有効なガイドラインを紹介します。
総務省 地方公共団体における情報資産のリスク分析・評価に関する手引き
総務省が公開している、地方公共団体における情報資産のリスク分析・評価に関するガイドラインです。
情報資産における、リスク分析や評価に関する指針が詳細に解説されています。
経済産業省 リスクアセスメント・ハンドブック 実務編
経済産業省が公開している、リスクアセスメント・ハンドブックです。
リスクアセスメント導入の目的から、実施手順、導入や要点についてまとめられています。
IPA 制御システムのセキュリティリスク分析ガイド 第2版
IPA(独立行政法人 情報処理推進機構)が公開している制御システムのセキュリティリスク分析ガイドです。
重要なインフラや産業システムの基盤となる、制御システムのセキュリティを向上させることを目的とし、セキュリティリスク分析を、事業者が実施できるようにするためのガイドです。
種類別に図解付きで公開されており、知識のない方でもわかりやすいように配慮されています。
まとめ
リスク分析表について解説しました。
Pマークの取得において、リスクアセスメントは重要であり、リスク分析表の存在は非常に大きいです。もれなくリスクを分析してその対策ができるかは、リスク分析表の完成度にかかっています。
ぜひこの機会に自社のセキュリティリスクについて見直しをしてみてはいかがでしょうか。セキュリティチェックシートもぜひダウンロードしてお役立てください。