on
[メモ]中小企業の情報セキュリティ対策ガイドライン(第3.1版)のリスク分析について
注意
中小企業の情報セキュリティ対策ガイドライン(第3.1版) のリスク分析部分についてのメモである。 本文に対するメモというよりも,付録のエクセルシート(付録7:リスク分析シート.xlsx)についてのメモである。
あくまで,メモ書きである。気が向いたら中身を整理するかもしれない。
内容の正確性は保証できない。そして,読みやすくないかもしれないが,仕方ない。
リスク分析シートで得られる値
リスク分析シートを入力することで,
- 情報資産ごとのリスク値
- 組織の情報セキュリティ対策の診断結果
の2つの結果が得られる。
シートについて
- 情報資産管理台帳
- 脅威の状況
- 対策状況チェックリスト
- 診断結果
の4つのシートが主要なシートである。 他のシートは,入力例,説明,解説のシートである。
そのうち,入力にのみ使うシートは対策状況チェックリスト, 出力にのみつかうシートは診断結果である。 「情報資産管理台帳」と「脅威の状況」は入力にも出力にも使う。
入力用シートと出力用シートが厳密に分かれていないため,ちょっとわかりにくい。
情報資産管理台帳
情報資産を列挙するシート。 情報資産には,会計関係情報,技術情報,従業員情報,取引先情報などのように, 情報自体を記入する。 紙,USBメモリ,テープなどの媒体や,サーバ,PCなどの保存先を記録するのではない。 いわゆるPC,サーバ,機器などの台帳とは異なる。
情報資産管理台帳では, 情報資産名を入力,情報資産を保存している,媒体・保存先を選択し, 個人情報の有無,CIA(機密性,完全正,可用性)から判断した重要度を入力する。
入力
リスク分析シートでは,
- 情報資産管理台帳
- 脅威の状況
- 対策状況チェックリスト
の3つのシートが入力用のシートである。
対策状況チェックリストの入力は,脅威の状況の「脆弱性対策状況」に反映される。 脅威の状況での入力(脅威の発生頻度)は,脆弱性対策状況ともに, 情報資産管理台帳の被害発生可能性に反映される。
情報資産管理台帳への入力
媒体・保存先
選択式
重要度
情報資産ごとの重要度を3段階(1,2,3の3値。大きいほど重要度が高い)で評価する。
重要度は,直接入力するのではなく, 個人情報の有無と,CIAの観点から評価した重要度を入力し,そこから算出する。
個人情報は,個人情報保護法等の分類に基づき,
- 個人情報
- 要配慮個人情報
- 特定個人情報 の3つに分けて,それぞれ有・無を選択する。
3種類の個人情報のうち1種類でも含む(1つでも有になっている)情報資産は, CIAの観点による評価に関係なく,重要度3(最も重要)となる。
3種類の個人情報を含まない場合には,重要度は,CIA(機密性,完全性,可用性)の観点による評価を受ける。
CIAの評価
情報資産に対するセキュリティインシデントについて
中小企業の情報セキュリティ対策ガイドラインでは, 情報資産に対して具体的なセキュリティインシデントを想定していない。 ここの業務に対しセキュリティインシデントを想定したサイバーフィジカルセキュリティ対策フレームワーク(CPSF)とは異なる。
それぞれの情報資産に対して,機密性,完全性,可用性の重要度を評価している。 「情報資産の機密性,完全性,可用性が保たれなくなる」事態を セキュリティインシデントとしていると考えられる。
つまり,
- ある情報資産Aの機密性が損なわれる
- ある情報資産Aの完全性が損なわれる
- ある情報資産Aの可用性が損なわれる
といったように抽象的にセキュリティインシデントを設定している。
被害想定を行ったり,BCPに利用する場合には, 具体的なセキュリティインシデントを想定した方がようかもしれないが, 中小企業がリスク分析を行う上では,この程度から始めた方がよいのだろう。
脅威の状況への入力
脅威の状況シートでは,媒体・保存先の種類ごとに想定したいくつかの脅威が設定されている。
ユーザは,それぞれの脅威に対して,脅威の発生頻度を3段階で評価し,入力する。 また,それぞれの脅威に対する脆弱性対策状況が, 対策状況チェックリストの入力を元に自動的に算出され入力される。 脆弱性対策状況は,対策状況チェックリストへの入力から算出される値で, 脅威の状況で入力するものではない。
脅威
脅威の発生頻度
脆弱性対応状況
媒体・保存先ごとの脅威にたいして,具体的な脆弱性は書かれていない。 漠然と,「弱点」程度に脆弱性を扱っていると考えられる。 脆弱性が具体的にどのようなものかは,CPSFあたりを参照することになるだろう。
脆弱性対策状況は,対策状況チェックリストから, 対策済みの場合には1,部分的に対策済みは2,未実施は3の3段階評価で算出する。 値が大きいほど脆弱性が残っている,脆弱性対策が未実施で, 値が小さいほど脆弱性が少ない,脆弱性対策が進んでいる ことを表す。
脅威の状況の脅威と,対策状況チェックリストの項目との対応。
脅威の状況の脅威ごとに関係する対策状況チェックリストの項目を列挙する。
対策状況チェックリストへの入力
対策状況チェックリストの入力の数値化
| 選択肢 | 数値 |
| 実施済み | 1 |
| 部分的に実施済み | 0.5 |
| 未着手・不明 | 0 |
| 関係なし | 0 |
対策状況チェックリストの項目と,脅威の状況の脅威との対応。
対策状況チェックリストの各項目ごとに関係する脅威を列挙する。
脆弱性対策状況の計算方法
脅威ごとに, 関係がある対策状況チェックリストの項目の数値を合計し, 合計点を, 項目数から回答未選択,および「関係なし」を選択した項目数を引いた数で割る。
チェックリストの項目による重み付は行っていない。ただの平均である。 また,未解答,および回答が「関係なし」である項目は,母数から除いている。
計算の結果を,次の様に読み替える
| 計算の結果 | 対応状況 |
| > 0.75 | 1. 対策済み |
| > 0.25 | 2. 部分的に実施済み |
| <= 0.25 | 3. 未実施 |
被害発生可能性の算出
被害発生可能性は,脅威ごとの被害発生可能性を算出した上で, 脅威ごとの被害発生可能性を元に,媒体・保存先ごとの被害発生可能性を算出する。
脅威ごとの被害発生可能性は,シートの隠しセルに表示されるため,目につくことはない。 媒体・保存先ごとの被害発生可能性の算出にのみ使われる。
媒体・保存先ごとの被害発生可能性は,情報資産管理台帳に表示される。 情報資産管理台帳では,情報資産ごとに媒体・保存先を選択し, 選択した媒体・保存先に対応する被害発生可能性が表示される。
脅威ごとの被害発生可能性
脅威ごとの被害発生可能性は, 脅威の発生頻度÷(4−対策状況) の計算結果の小数点以下を切り上げた値である。 1,2,3のいずれかの値になり,値が大きいほど被害発生可能性が高い。
媒体・保存先ごとの被害発生可能性
媒体・保存先ごとの被害発生可能性は, 脅威ごとの被害発生可能性の最大値である。 こちらも,値が大きいほど被害発生可能性が高い。
出力
主要な出力は,前述の通り,
- 診断結果
- 情報管理台帳
である。
診断結果は,
- 対策状況チェックリスト
- 情報資産管理台帳
の2つのシートの入力から算出する。
情報資産管理台帳は,
- 情報資産管理台帳自体への入力
- 脅威の状況
- 対策状況チェックリスト
から,情報資産ごとのリスク値を算出する。
診断結果の出力
規程の必要性と対策状況の診断結果が,出力される。 規定の必要性は情報資産管理台帳から, 対策状況の診断結果は対策状況チェックリストから算出する。
規程の必要性
規程の必要性は,◎と△は初期設定で入力されている。 それ以外は,関係する媒体・保存先に情報資産が1件以上あれば⚪︎, 情報資産がなければ−が入る。 情報資産の件数は,情報資産管理台帳から算出する。
対策状況の診断結果
対策状況の診断結果は,対策状況チェックリストの区分け(組織的対策,人的対策,情報資産管理など)と同じ区分で表示される。
対策状況のチェックリストを得点化した値(1,0.5,0)の和を, 回答が関係なし以外の設問数で割り,パーセント表示したものが,診断結果になる。 分母には,回答未入力の設問も含む。
情報資産管理台帳の出力
情報資産管理台帳の出力は,情報資産ごとのリスク値である。 リスク値は,情報資産管理台帳への入力から算出した重要度と, 脅威の状況および対策状況チェックリストへの入力から算出した 被害発生可能性から算出する。
情報資産の重要度は情報資産に対して評価するが, 被害発生可能性は,情報資産の媒体・保存先に応じて算出される。
情報資産のリスク値は, 情報資産の重要度×情報資産の媒体・保存先の被害発生可能性 で求める。
重要度は1,2,3のいずれか,被害発生可能性は1,2,3のいずれかの値であるため, リスク値は,1,2,3,4,6,9のいずれかの値になる。 値が大きいほどリスクが大きい。