外部からの攻撃や、内部不正によるセキュリティリスクをコントロールできず、万が一の事故が起こると、当該企業が事故から回復するためのコストを負担するだけではありません。
二次被害が生じた場合の損害賠償責任など、多額の負担が生じる可能性がありますし、社会的な信用も傷ついてしまいます。企業活動に与える影響は重大です。
一方、現に存在する、または潜在的に考えられるセキュリティリスクを分析することは、セキュリティリスクをコントロールするための有効な方法です。分析結果に正しく対応するとリスクはコントロールされ、事故発生の可能性も低減されます。
そこで、リスク分析の方法や、各方法の使いかたなど、詳細に以下でご説明します。
また、「セキュリオ」のリスクマネジメント機能をご利用いただくと、リスクと対応策の登録から対応策の進捗管理まで簡単操作で実施できます。ほかにもISMS認証にまで対応した機能や標的型攻撃メール訓練、従業員教育といった機能で効率的・効果的なセキュリティを実現します。
情報セキュリティリスクとは
情報セキュリティリスクとは、セキュリティ攻撃や内部不正などにより、情報システムとそのデータに悪影響が及ぶリスクのことです。
サイバー攻撃や、故意によるものだけでなく、人為的なミス・過失等により、社内規定違反などの不正が起こる可能性が常にあることを考えると、リスクは0にすることはできません。
しかし、情報セキュリティリスクは、極小化してコントロールし、事故が起こる確率を下げ、仮に被害に遭ったとしても、最小限で済むようにしておくことが可能と考えられています。
セキュリティリスクの例
セキュリティリスクの具体例は、内部不正やミスによる情報漏えい、標的型攻撃、脆弱性をついた攻撃など多岐にわたっています。また、セキュリティリスクは、セキュリティ事故の件数から見ると、増加・増大していると考えてよいでしょう。
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)が2020年7月に発表したレポートによると、4月から6月までの四半期で、前年度6,361件に対して10,416件となり、前の年の四半期の事故件数よりも60%も事故件数が増加していることがわかっています。
コロナウィルスの流行により、在宅勤務が増えたことなど要因はあるにしても、一般的に外部からの攻撃は、防御の方法とともに進化し、いたちごっことなりがちなこと、年々ネットワークに流通するデータ量が増えていることを考えても、年々リスクが増大していると考えるべきです。
ところで、リスクは脅威×脆弱性を考えると、リスクの大小や、実際に事故などのビジネスへのインパクトや発生確率がおおむね計測できるようになります(この手法を詳細リスク分析と呼びます)。そこで、以下では脅威と脆弱性についてもう少し具体的に見てみましょう。
情報セキュリティの脅威
情報セキュリティリスクの内容である、情報セキュリティの脅威には次のようなものがあります。標的型攻撃・マルウェア攻撃などの外部の攻撃には、攻撃「パターン」で分類がある程度は可能ですが、正体は不正なソフトウェアであるため、無数に作り出すことが可能です。
- 標的型攻撃やマルウェア感染、Webサイトの改ざんなど、外部の人間による悪意ある行為
- PCや記録媒体の盗難、システムの操作ミスによる機密情報の漏洩
- 地震や台風、落雷、火事といった自然災害
情報セキュリティの脆弱性
これに対して、脆弱性は企業の情報セキュリティ体制とほぼ同じと考えてよいでしょう。次のような脆弱性要因があります。個別のソフトウェア・文書・各営業拠点での脆弱性を考えると、
それぞれ違います。そのため、脆弱性をすべて挙げることも非常に困難なのが実情です。代表的なものを上げると次のとおりです。
- ソフトウェアの脆弱性
- 管理文書・体制の不備
- 災害やトラブルに弱い立地
情報セキュリティ対策にはリスク分析が必要
後にご紹介する、詳細リスク分析は、情報セキュリティへの脅威と、企業ごとの脆弱性をマトリクスとしてまとめて分析する手法を取ります。
ビジネスへのインパクトと、発生確率がおおむね計測できるものの、それではどの脅威・脆弱性を高い・低いと評価するのか、この点は評価基準により変わってきます。
リスク分析に用いる評価基準
リスク分析に用いる評価基準は、次のようなものが用いられます。
中でも分析対象の価値ないし金銭的な評価は、数値化しやすいことや、ビジネスへのインパクト=金銭的損害を測るキーポイントになるものです。
- 分析対象の価値、被害の規模や影響
- 予測される脅威と、脅威が発生する可能性
- 脅威発生時の受容可能性
リスク分析に用いる4つの手法
リスク分析の手法は、以下の4つがあります。
ベースラインアプローチ | 既存の標準によりリスクアセスメントを行うアプローチ |
---|---|
非形式的アプローチ | コンサルタント・組織の担当者など、独自の方法でリスクアセスメントを行う |
詳細アプローチ (詳細リスク分析) |
情報資産(情報・ハードウェア・ソフトウェア・ネットワークを含む)に対し「資産価値」「脅威」「脆弱性」「セキュリティ要件」を識別、計数化してリスクアセスメントしていく。マトリクス・ヒートマップなどにまとめるのが一般的 |
組み合わせアプローチ | 前3つのアプローチを組み合わせる |
このうち特に重要なのは、ベースラインアプローチと詳細リスク分析です。
ベースラインアプローチの実際
ベースラインアプローチは、社内規定に照らして、あるいはISO/ISMSのリスクアセスメント文書に照らして、最低限基準をクリアしてるかをみるアプローチとなります。
ベースラインといってもどの会社でも一律のものではなく、ISOなどの国際標準のレベルで行うか、あるいは社内規定にとどまるか、などの差異があります。より、高度なセキュリティ体制を確立するには、ISOなどの標準文書に従って分析をしたほうがよいでしょう。
しかし、それだけではあくまでも最低限の基準をクリアしていることにすぎず、また情報セキュリティの脅威は極端に言うと日々進化するものですから、過去のリスクを文書にまとめて分析の指標としているベースラインアプローチだけでは通用しないことがあります。
詳細アプローチの実際
上記を踏まえた上で、情報資産の価値を評価し、そこにある脅威と脆弱性を要素ごとにマトリクス化してまとめた個別の詳細リスク分析が必要になります。
特に重要・多額と考えられる情報資産を重点的に詳細リスク分析して補うことが実際によく行われていますし、リスクコントロールの手法としても適切です。
例えばクレジットカード情報・基幹システムなど、漏洩・停止があれば金銭的な被害が多く出るもの、と考えてよいため、詳細アプローチにより、さらに情報資産そのものと、そこに関連するネットワークなども含めて分析を行います。
組み合わせアプローチの実際
既に見たように、ベースラインアプローチが文書に拘束されて、実際のリスク評価としては不足が生じてしまいます。
一方、全てのリスクに詳細リスク分析を行うことは現実的ではありません。
そのため、詳細リスク分析とベースラインアプローチを組み合わせた「組み合わせアプローチ」が一般的にはリスク分析ではよく用いられます。また、これらの手法に加え、「非形式的アプローチ」とも組み合わされることがあります。
非形式的アプローチは、文書や、詳細リスク分析のアセスメント手法にとらわれず行うものですが、詳細リスク分析の前に事業の態様に合わせてペースラインアプローチに上乗せし、修正を図るための基準を作るなどの目的で行われることが実務上見られます。
文書があとから生じた事象には対応しにくい、あるいは、重要課題が認識されているのに、文書とずれているなどの理由で利用されることがあるようです。
ただ、非形式的アプローチと、詳細アプローチの対象が重なるときは、非形式的アプローチは詳細アプローチに吸収されることがほとんどなので、重要な意味を持ちにくいと考えられます。
詳細リスク分析はよりリスクを明確にできる
詳細リスク分析は、脅威・脆弱性・情報資産の価値をすべて評価の要素として利用するので、工数が非常にかかります。
しかし、現状・近い将来のリスクを正確に分析すること、また、できるだけ数値化して行うことが普通ですので、リスクのインパクトを明確にしやすいことから、最重要のリスク分析の方法と考えられています。
国際標準のリスクアセスメントも、詳細リスク分析をさらに行うことを前提としているものです。ISO27001の認証を受けているからリスク分析も、情報セキュリティ体制も十分、というように考えるのは、もともとリスクコントロールを十分に行うことが目標であることからすると本末転倒といえるでしょう。
こうしたリスクアセスメントをクラウド上で一元的に実施しませんか?
まとめ
以上、情報セキュリティリスク分析の考え方・方法についてご紹介しました。
リスク分析の方法は、企業の実情に合わせて行われるものですので、各企業で同じ結果になるわけではありません。また、詳細リスク分析も、どの程度まで行うかは、経営判断によって変わります。
一律にどこまでやれば十分、ということはありませんし、一度で完璧なリスク分析もないので、最新の脅威に対応するには、PDCAサイクルにのせて、定期的な改善・拡充を図っていくことが必要です。