サーバ構築・運用・監視のネットフォース

ホーム > ブログ

【コラム】情報セキュリティにおけるリスクマネジメントとは

2019/11/11

近年、企業における情報システムにおけるリスク管理の重要性が増えています。

業務のアウトソース化が進み、外注先でのトラブル、従業員やアルバイトによるSNSでの不適切な情報拡散など、企業がより積極的にリスクマネジメントを行うことが求められています。

特に中小企業においてはリスク管理する専門の部署を設けているところは数パーセントにとどまり、担当部署がないところも多く、リスクマネジメントに携わる担当者は不安を抱えているのではないでしょうか。

そこで、今回は情報システムの一般的なリスク管理について紹介していきます。

リスク管理とは

情報システムの導入や運用が格段に進む中、リスク管理の重要度はますます高まっています。

この情報セキュリティにおけるリスクとは、企業の守るべき資産に損害を発生させる可能性がある事を指しています。

リスクに対して組織的に管理し、損失や損害などの回避、低減を図る一連のプロセスをリスク管理といいますが、リスクは適切に対処する事で、ある程度コントロールする事ができます。

ではまずリスクを構成するリスク因子である「脅威」と「脆弱性」について確認してみましょう。

「脅威」

「意図的脅威」は、主に悪意を持ったものによる行為で、不正侵入し、マルウェア、データ改ざんなどにより資産情報を破壊したり、持ち出したりなどのいわゆるサイバー攻撃が該当します。

「偶発的脅威」はデータなどの紛失や操作ミス、会話やSNSなどからの情報漏れなど、人為的ミスによる情報システムやネットワークへの影響及び障害が該当します。

「環境的脅威」は、洪水、台風、落雷などの自然や環境による脅威で、発生頻度は高くはないですが、大きな被害を及ぼす事が予想されます。

「脆弱性」

脆弱性とは、情報資産や情報システムが内包する弱点を指します。言い換えると脅威によって影響を受ける内在する弱さと言うことができます。

OSやソフトウェアにセキュリティ面での問題があった場合、そこを弱点として外部から攻撃を受けてしまいます。

また、IDやパスワードのずさんな管理や、意図しない通信が許可されている事により侵入されやすい状態にしてしまっている、というような場合でも脆弱性がある状態となります。

ちなみに、情報漏洩はサイバー攻撃だけでなく、内部の不正行為による漏洩も多く発生しています。

故意にしても、過失にしてもセキュリティの基本概念である、その業務に必要最小限の権限だけを付与する「最小権限の原則」や、業務に必要な環境だけ許可するようなアクセス制御をする事で被害を抑えることができます。

情報資産に対する脅威と脆弱性

この脅威と脆弱性が結びつく事で「リスク」が発生しますが、さらに損害の大きさは「情報資産の価値」で決まります。 これらを式で表すと以下のように、リスクを定量的に算出する事ができるようになります。

リスクマネジメントの継続的なプロセスについて

一般的にリスク管理は以下のようなプロセスに沿って行われます。

リスクマネジメントプロセス略図

置かれている状況の確定

解決すべき課題、業務の目的、適用範囲、組織内外の条件など確認し、事前に取り決めておくべき事項を確定していきます。

コミュニケーション&協議

プロセス全体を通して、ステークホルダとのコミュニケーション及び協議を継続して行います。

リスクの特定

組織の目的や課題達成、情報資産に対して影響する可能性のあるリスクを発見し、洗い出していきます。この際、いろんな部門から意見を出し合ったりして偏った意見、見方にならないように包括的に実施していきます。

リスク分析

リスクの性質及び特徴を理解し、リスクのレベルを決定していきます。

リスク評価

リスク分析の結果と組織で策定したリスク基準をもとに、優先順位をつけて対応すべきリスクを 決定していきます。

リスク対応

対応すべきリスクが決まったところで、リスクマネジメントの目標を設定し、 許容できるリスク含めて、リスク対策を実施していきます。

対策は以下大きくわけて4つあります。

・リスクの低減

脆弱性に対して情報セキュリティ対策を実施することや、最小権限の原則、適切なアクセス制御、セュリティソフトの導入などにより、リスクを起こりにくくします。

・リスクの保有

リスクのもつ影響力が小さいため、セキュリティ対策を行わず、許容範囲としてそのリスクを受容することになります。 また、リスクのもつ影響力が大きいものであったとしても、対策がない場合や、コストが見合わない場合にも、リスクを受容します。

・リスクの回避

リスク因子である脅威が発生しないような方法に変更したり、そもそも脅威が発生する可能性をなくしてしまいます。

・リスクの移転

例えば、リスクが顕在化したときに備えて保険に加入し、損失が発生した場合、費用を充当したり、リスクを含む業務自体を他社に委託し、契約により被害が出た場合は損害賠償で費用を充当したりするなど、リスクを他へ移転することになります。

モニタリング

リスクマネジメントプロセス及びその結果についてモニタリングします。

対策どおりに実施できていない、取決めの通り対策は実施しているが、状況が変わって対策が効果的ではなくなっている、など常に環境は変わっているものなので継続的に取り組んでいく必要があります。

リスクマネジメントいかがだったでしょうか。

当社でもISO27001の認証を取得しておりますので、継続的にセキュリティの維持・改善にとりくんでいますが、リスク管理の中で特に大事だと思うところは基本ですが、 「継続して実施すること」と「視点を変えてリスクを洗い出すこと」です。 ITのリスク管理は日々の戦いでもあります。自社のリスクを理解し、さまざまな手法を導入することで企業の持続性を高めることが大切です。

© netforce