インプレス ビジネスメディア

第4回:個人情報保護法とISMSからみるリスクマネジメント (2/4)

TOP情報セキュリティ> ISMSにおけるリスクアセスメントの位置付けと要件
リスクマネジメント
トピックと手法から学ぶリスクマネジメント

第4回:個人情報保護法とISMSからみるリスクマネジメント
 著者:プライド   三澤 正司   2006/9/5
前のページ  1  2  3  4  次のページ
ISMSにおけるリスクアセスメントの位置付けと要件

   個人情報保護とISMSについて概観してきたが、以降よりISMSに着目してリスクアセスメントを説明する。

   まずは、ISMSにおけるリスクアセスメントの位置付けを確認する。JIS Q 27001:2006「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」は、表4に示すとおり「計画(Plan)、実行(Do)、点検(Check)、処置(Act)」マネジメントモデルを採用している。
  • 4 情報セキュリティマネジメントシステム
  • 4.1 一般要求事項
  • 4.2 ISMSの確立及び運営管理
  • 4.2.1 ISMSの確立
  • 4.2.2 ISMSの導入及び運用
  • 4.2.3 ISMSの監視及びレビュー
  • 4.2.4 ISMSの維持及び改善
  • 4.3 文書化に関する要求事項
  • 4.3.1 一般
  • 4.3.2 文書管理
  • 4.3.3 記録の管理
  • 5 経営陣の責任
  • 5.1 経営陣のコミットメント
  • 5.2 経営資源の運用管理
  • 5.2.1 経営資源の提供
  • 5.2.2 教育・訓練、意識向上及び力量
  • 6 ISMS内部監査
  • 7 ISMSのマネジメントレビュー
  • 7.1 一般
  • 7.2 レビューへのインプット
  • 7.3 レビューからのアウトプット
  • 8 ISMSの改善
  • 8.1 継続的改善
  • 8.2 是正処置
  • 8.3 予防処置

表4:JIS Q 27001:2006
「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」

   表4の中でもリスクアセスメントは、「計画(Plan)」にあたる「4.2.1 ISMSの確立」の中で定義されており、表5の要件がある。

リスクアセスメントに対する組織の取組み方
  1. ISMS、特定された事業上の情報セキュリティの要求事項、並びに特定された法令及び規則の要求事項に適したリスクアセスメントの方法を特定する
  2. リスク受容基準を設定し、また、リスク受容可能レベルを特定する。選択するリスクアセスメントの方法は、それを用いたリスクアセスメントが、比較可能で、かつ、再現可能な結果を生み出すことを確実にしなければならない
リスクの特定
  1. ISMSの適用範囲の中にある資産及びそれらの資産の管理責任者を特定する
  2. それらの資産に対する脅威を特定する
  3. それらの脅威がつけ込むかもしれないぜい弱性を特定する
  4. 機密性、完全性及び可用性の喪失がそれらの資産に及ぼす影響を特定する
リスクの分析・評価
  1. セキュリティ障害に起因すると予想される、組織における事業的影響のアセスメントを行う。このアセスメントでは、その資産の機密性、完全性又は可用性の喪失の結果を考慮する
  2. 認識されている脅威及びぜい弱性並びに情報資産に関連する影響の観点から、起こり得るセキュリティ障害などの現実的な発生可能性についてアセスメントを実施する。その際に、現在実施されている管理策を考慮する
  3. そのリスクのレベルを算定する
  4. そのリスクが受容できるか、又は対応が必要であるかを判断する

表5:リスクアサスメントの要件

   リスクの受容・対応の判断には、「リスクアセスメントに対する組織の取組み方」の2によって確立したリスク受容基準を用いる。リスク受容基準については、「5.1経営陣のコミットメント」の中の「リスク受容基準及びリスクの受容可能レベルの決定」で行う。
ISMSにおけるリスク

   ISMSにリスクとは、情報資産にかかわるリスクである。まずは、JIS Q 27002:2006「情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範」が示すセキュリティ管理策を確認する。

セキュリティ管理策の構造
図1:セキュリティ管理策の構造
(画像をクリックすると別ウィンドウに拡大図を表示します)

   ISMS認証では、図1のセキュリティ管理策の網掛け部分の管理策を必須とし、他の管理策は任意としている。

   セキュリティ管理策には、図1に示すように11の箇条があり、各箇条にはいくつかのセキュリティカテゴリがある。各セキュリティカテゴリには、管理目的が定義されており、その下にいくつかの管理策が定義されている。

   セキュリティカテゴリは計39であり、管理策が計133である。表6にセキュリティ管理策の箇条/セキュリティカテゴリ/管理目的に分けて示す。

セキュリティ管理策の箇条/セキュリティカテゴリ/管理目的
表6:セキュリティ管理策の箇条/セキュリティカテゴリ/管理目的
(画像をクリックすると別ウィンドウに拡大図を表示します)

   セキュリティ管理策の箇条「13 情報セキュリティインシデントの管理」は、ISMS認証基準(Ver.2.0)からISO/IEC 27001:2005に移行したとき追加されたものである。

   情報セキュリティインシデント(information security incident)とは、「望まない又は予期しない単独又は一連の情報セキュリティ事象であって、事業運営を危うくする確率、及び情報セキュリティを脅かす確率が高いもの」(ISO/IEC 27001:2005 用語定義)である。

   建設現場や工場などでの安全管理の分野では、ハインリッヒ法則と呼ばれる「1:29:300」の数字がある。これは人命に関わるような重大事故1件の背後には、29件の中規模事故があり、さらにその背後には300件の小規模事故、あるいは「ヒヤリ」とした未然事故があるという法則である。

   ISMSのセキュリティ管理策を確認したが、ISMSのリスクとは、管理目的を阻害するリスクといえる。それらを大きく分けると、次にあたる局面におけるリスクである。
情報資産取扱い

   情報資産の作成/取得/利用/貸出/移送/配布/破棄などのライフサイクルにおける各局面で起こりうるリスクである。情報資産を取り扱う上で発生する紛失、破壊、盗難、改竄などに該当する。
システム開発・運用

   情報システムの故障及びサービス停止、サービスの妨害(DoS:Denial of Service)、不完全または不正確な業務データに起因する誤り、システムへの不正アクセスなどのリスクである。システムが取扱う情報資産にかかわる。
施設・作業環境

   業務執務室、システムが稼動しているデータセンタ、開発・運用の作業環境等で起こりうるリスクである。施設、作業環境で発生する不正侵入、什器類破壊などに該当する。
前のページ  1  2  3  4  次のページ

株式会社システムインテグレータ 代表取締役 梅田 弘之
 著者プロフィール
株式会社プライド  三澤 正司
ITコーディネータ
プラント会社勤務時に、情報システム分野およびシステム開発方法論に興味を持ち、株式会社プライドに入社。主としてプロジェクト支援、標準化支援、教育に従事するが、ここ数年は、情報セキュリティ、管理業務に関わる支援の比重が大きくなってきている。
INDEX
第4回:個人情報保護法とISMSからみるリスクマネジメント
  はじめに
ISMSにおけるリスクアセスメントの位置付けと要件
  リスクアセスメント手法の適用
  リスクの数値化
トピックと手法から学ぶリスクマネジメント
第1回 リスクアセスメントの範囲の策定
第2回 内部統制に対応するリスクアセスメント
第3回 コンプライアンスに対するリスクアセスメント
第4回 個人情報保護法とISMSからみるリスクマネジメント
第5回 個人情報漏洩のリスク評価
第6回 プロジェクトマネジメントにおけるリスクアセスメント

新着記事

位置情報の基本中の基本となる「点」の情報の扱い方を学ぼう 6:30 Kubernetesコミュニティのグループ構成と活動領域の見つけ方 6:30 AIには別の顔を見せるWebサイト: エージェントを狙う間接プロンプトインジェクション 12月4日 6:30 【CNDW2025】なぜCloudNative DevSecOpsを推進するのか? 米軍の事例が示す「速度と安全性」の必然 12月4日 6:00 【序論】なぜ今、監視は「再発見」されるのか 12月3日 6:30

人気記事トップ10

外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう AI搭載のスマートグラス「Even G2」が国内発売ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? オープンソースの電子書籍管理ソフト「Calibre 8.15」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 「Rocky Linux 10.1」リリース IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 米Red Hat、「Red Hat Enterprise Linux 9.7」を発表 AI時代のエンジニアに求められるものとは?「生き残る」ためのキャリア戦略
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 【序論】なぜ今、監視は「再発見」されるのか 「AIを導く」のはオープンソース ー実証に基づいた明確な解を示したレポート「ソブリンAIの現状」を公開 Linuxカーネル「Linux 6.18」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 世界中の「欲しい」を10秒で叶える ─株式会社SAZOが描く越境ECの新時代 「Terraform」でコードをモジュール化して、環境を分離することで適切に管理しよう IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 【序論】なぜ今、監視は「再発見」されるのか
人気記事ランキングをもっと見る

企画広告も役立つ情報バッチリ! Sponsored

新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 1月15日 6:30 AIで激変する「DevOpsの未来」と「IT組織のリーダーが備えるべきこと」とは 2024年11月26日 8:53 仕様書からテストケースを自動生成! Autify Genesisが変えるソフトウェアテストの未来 2024年11月21日 8:04 LLMを自由に切り替え! Kongが提案するAIゲートウェイ活用法 2024年11月15日 6:12