on
[メモ]「これだけは知っておきたい リスクマネジメントと危機管理ガイドブック」と「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」のリスク分析の対照
はじめに
これはメモ書きです。正確性は保証できません。間違っていたらすいません。
これだけは知っておきたい リスクマネジメントと危機管理ガイドブック (以降リスクマネジメントガイドブック)とIPAの中小企業の情報セキュリティ対策ガイドライン(第3.1版) (以降セキュリティ対策ガイドライン)のリスク分析を対照したメモ。
リスクマネジメントガイドブックのリスクマネジメントの計画
- 適用範囲の設定
- リスク基準の設定
- リスクの発見
- リスクの特定
- リスクの算定
- リスクの評価
- リスク目標の設定
- リスク対策の策定
- リスクマネジメントプログラムの策定
対応表
| リスクマネジメントガイドブック | セキュリティ対策ガイドライン |
| 適用範囲の設定 | 情報資産の洗い出し |
| リスク基準の設定 | 情報資産の重要度(個人情報,CIAベース)の決定 |
| リスクの発見 | 対策状況チェックリストと脅威の状況の記入 |
| リスクの特定 | (対応なし) |
| リスクの算定 | リスク値の計算(重要度と被害発生可能性から自動計算) |
| リスクの評価 | リスク値で対応の優先順位が決まる? |
| リスク目標の設定 | (対応なし) |
| リスク対策の策定 | 脆弱性対策の実施計画。セキュリティ保険。外部サービスの利用 |
| リスクマネジメントプログラムの策定 | 規程類の整備? 年間計画等はなし |
リスクマネジメントガイドブックの項目ごとのメモ
適用範囲の設定
リスクマネジメントの対象にする範囲を設定する。 リスクマネジメントハンドブックでは企業活動を広範にカバーする内容であるため, 適用範囲の設定が必要となる。
セキュリティ対策ガイドラインには,明白に対応する箇所がないが, 情報資産を洗い出し,情報資産管理台帳への記入が対応すると考えても問題ないのではと 考えている。
リスク基準の設定
情報資産の重要度の判定が,リスク基準の設定に対応するのではないかと思う。
セキュリティ対策ガイドラインでは,重要度を
- 個人情報の有無
- CIA(機密性,完全性,可用性)の観点からみた重要度
を入力し,そこから重要度を算出する。
セキュリティ対策ガイドラインは,リスク値は情報資産ごとに算出する 情報資産ベースのリスク分析を行う。 ただし,リスク値算出の基礎のなる発生頻度は,情報資産の媒体・保存先ごとの 種類によって,算出する。
リスクの発見
リスクマネジメントガイドブックでは,リスクの目録化をリスクの発見としてる。
セキュリティ対策ガイドラインでは,脅威と脆弱性を媒体・保存先ごとに評価している。 リスクの目録化という作業に対応するものはない。 リスク分析シートに媒体・保存先ごとの脅威が列挙されているので, リスクの目録は事前に用意されている。 ユーザは,対策状況チェックリストと脅威の状況を利用して, 脅威の発生頻度と脆弱性への対応状況を算定できる。
リスクの特定
リスクマネジメントガイドブックでは, リスクの特定は,詳細なリスク分析を行うリスクの選定を指す。
セキュリティ対策ガイドラインでは,対応する作業はない。 情報資産管理台帳の記入,対策状況チェックリストの記入,脅威の状況の記入 を通じて,情報資産に対するリスク分析の作業を終えることができる。
リスクの算定
リスクマネジメントガイドブックでは,リスクの影響度と発生頻度の算定をリスクの算定としている。
セキュリティ対策ガイドラインで影響度と発生頻度に対応するものは, 情報資産ごとの重要度と被害発生可能性である。
影響度に対応する情報資産ごとの重要度は,個人情報の有無とCIAの評価から 自動的に算出済みである。
発生頻度に対応する被害発生可能性は,対策状況チェックリストおよび脅威の状況から算出するが, これは,媒体・保存先ごとに算出される。
リスクの評価
リスクマネジメントガイドブックでは,リスク算定, リスクマトリックス(リスクごとの影響度と発生頻度), 被害想定シナリオ から,リスクに対処する組織や,優先度といった対処を決めることをリスクの評価としている。
セキュリティ対策ガイドラインでは, シートへの入力を終えると,情報資産ごとのリスク値が算定され, リスク値の大きさで対応の優先順位を決定できる。
リスクマネジメント目標の設定
リスクマネジメントガイドブックでは, 発生頻度,影響度をどこまで下げるかを決めることを リスクマネジメント目標の設定としている。
セキュリティ対策ガイドラインでは,明確な対応項目はないが, リスクマネジメント目標の設定を,リスク値を下げることと 考えるなら,
- 情報資産の重要度を下げる
- 脅威の発生頻度を下げる
- 脆弱性対策を行う
などについて,目標を定めることになると考えられる。
リスク対策の策定
リスクマネジメントガイドブックでは,リスク対策として, 回避,低減,移転(共有),保有を列挙している。
セキュリティ対策ガイドラインでは,それぞれについて,下記の様な説明を行なっている。
低減
脆弱性対策の実施
保有
現状維持。費用と被害とのコストパフォーマンスを考慮に入れた上で現状維持。
回避
中止。撤退。 業務に必要のない個人情報の保持をやめ, 情報資産の重要度を下げることも回避に含まれると個人的には考えている。
移転(共有)
損害保険の利用。 また,外部サービスに代行してもらうことで, インシデント発生時の損害を外部サービスにも負わせる。
上記の実施により,対策状況チェックリストの各項目の値が良い方向に変化し, 被害発生可能性が下がり,リスク値も下がると考えられる。
対策の具体策は,CPSFを参照することになるのであろうか?
リスクマネジメントプログラム
リスクマネジメントガイドブックでは,対策実施の年間計画の立案を指す。 計画には,実施内容に加えて,実施時期,実施組織,実施予算などが含まれる。
セキュリティ対策ガイドラインでは,明確に対応する項目は存在しない。
ただ,規程類の整備により,リスクマネジメントプログラムと同等の効力を 発揮できる面もあると考えられる。
本来は,「リスク対策の策定」で定めた対策について,実施時期,実施部門,実施予算 などを決める必要がある。