インプレス ビジネスメディア

第4回:個人情報保護法とISMSからみるリスクマネジメント (4/4)

TOP情報セキュリティ> リスクの数値化
リスクマネジメント
トピックと手法から学ぶリスクマネジメント

第4回:個人情報保護法とISMSからみるリスクマネジメント
 著者:プライド   三澤 正司   2006/9/5
前のページ  1  2  3  4
リスクの数値化

   今回は4つのアプローチの中で詳細リスク分析(Detail Risk Analysis)を説明する。この手法では次に示す算出式より、リスクを定量的に示し、対象情報資産に対しリスクを受容するか、リスク対応するかの評価を行う。
リスク値=資産価値×脅威×脆弱性

   当手法は、以下のプロセスで実施される。
1. 「資産価値」「脅威」「脆弱性」の評価

   対象情報資産の「資産価値」「脅威」「脆弱性」に対しそれぞれ評価(レベル分け)をする。

   「資産価値」の評価は、情報セキュリティの3要素である「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を加味して評価を行う。「法規適合性に関するISMSユーザガイド」では、3要素について以下のとおり基準例を示している。

資産価値(機密性)の基準例
情報資産の重要度で評価する。
「公開(1)」「社外秘(2)」「秘密(3)」「極秘(4)」
資産価値(完全性)の基準例
改竄に対するビジネスの影響度で評価する。
「不要(1)」「要(2)」「重要(3)」
資産価値(可用性)の基準例
利用できなくなった場合のビジネスの影響で評価する。
「低(1)」「中(2)」「高(3)」

表8:情報セキュリティの3要素
(括弧内は資産価値)

   情報資産の重要度については、基準例の他に「個人情報」「営業情報」「機密情報」「通常情報」などの区分け方も一般的である。重要なのは区分けに際し、明確な基準を設けることである。

   また仕様情報のように、開発時の仕様確定前情報と運用時の仕様確定情報で取扱い方つまりリスク対応方法が変わる情報資産もあるので、情報資産のステータスも考慮する必要がある。

   「脅威」は、情報資産の機密性/完全性/可用性を脅かすおそれのある外部要因である。「法規適合性に関するISMSユーザガイド」では、以下のとおり基準例を示している。

脅威の基準例
発生頻度により評価する。
「低い(1)」「中程度(2)」「高い(3)」

表9:脅威の基準例
(括弧内は発生可能性)

   なお「機密性」「完全性」「可用性」に対する脅威は以下のものが考えられる。

  • 機密性:侵入、盗聴など
  • 完全性:改ざん、なりすましなど
  • 可用性:災害、妨害など

表10:脅威の種類

   「脆弱性」は、脅威に対する対抗力が不十分な情報資産が持つ性質(内部要因)である。

   「法規適合性に関するISMSユーザガイド」では、以下のとおり基準例を示している。

脆弱性の基準例
対応策不備による弱点の程度により評価する。
「低い(1)」「中程度(2)」「高い(3)」

表11:脆弱性の基準例
(括弧内は弱さの度合い)

   情報資産の置かれている状況を、「脅威」(外部要因)と「脆弱性」(内部要因)の両側面から評価することが重要である。
2. リスク値算出

   対象情報資産の「資産価値」「脅威」「脆弱性」各評価結果より以下の算出式でリスク値を求める。

リスク値=資産価値×脅威×脆弱性


リスク値評価

   受容できるリスク基準値により算出したリスク値を評価する。リスク値が、受容できるリスク基準値を超えた場合は、リスク対応が必要となる。

   図2のマトリクスの太線内は、「資産価値」「脅威」「脆弱性」の基準例より算出した「リスク値」である。例えば、受容できるリスク基準値を10と設定した場合、網掛け部分がリスク対応必要なリスク値となる。

リスクのマトリクス
図2:リスクのマトリクス

   以下の好ましくない状況例でリスク値を計算してみる。

  • 対象情報資産はメールデータである
  • スクリーンロックしていないPCでメールソフトを利用している
  • メールソフトにはパスワードを記憶させている
  • PCに対しウィルス対策を行っていない

表12:リスクの例

機密性の評価 = 2×3×3 = 18
2 資産価値 メールでは「社外秘」情報を扱っている
3 脅威 離席時に他人にメールソフトを
不正利用される可能性が高い
3 脆弱性 パスワードを記憶させているので
他人に不正利用される可能性が高い

表13:機密性の評価

完全性の評価 = 3×3×3 = 27
3 資産価値 改竄された場合のビジネスの影響度は大である
3 脅威 ウィルス攻撃による
データ破壊などの可能性が高い
3 脆弱性 ウィルス攻撃に無防備である

表14:完全性の評価

可用性の評価 = 2×3×3 = 18
2 資産価値 利用できなくなった場合の
ビジネスの影響度は中である
3 脅威 ウィルス攻撃により
利用できなくなる可能性が高い
3 脆弱性 ウィルス攻撃に無防備である

表15:可用性の評価

   結果は、当然のことながらすべてリスク対応必要なリスク値である。

   当手法では、「資産価値」「脅威」「脆弱性」の基準値、受容できるリスク基準値の設定が重要なポイントとなる。組織のニーズ/業務上の経験/過去に収集した統計的なデータなどを考慮し、精度を上げることが重要である。
前のページ  1  2  3  4

株式会社システムインテグレータ 代表取締役 梅田 弘之
 著者プロフィール
株式会社プライド  三澤 正司
ITコーディネータ
プラント会社勤務時に、情報システム分野およびシステム開発方法論に興味を持ち、株式会社プライドに入社。主としてプロジェクト支援、標準化支援、教育に従事するが、ここ数年は、情報セキュリティ、管理業務に関わる支援の比重が大きくなってきている。
INDEX
第4回:個人情報保護法とISMSからみるリスクマネジメント
  はじめに
  ISMSにおけるリスクアセスメントの位置付けと要件
  リスクアセスメント手法の適用
リスクの数値化
トピックと手法から学ぶリスクマネジメント
第1回 リスクアセスメントの範囲の策定
第2回 内部統制に対応するリスクアセスメント
第3回 コンプライアンスに対するリスクアセスメント
第4回 個人情報保護法とISMSからみるリスクマネジメント
第5回 個人情報漏洩のリスク評価
第6回 プロジェクトマネジメントにおけるリスクアセスメント

新着記事

位置情報の基本中の基本となる「点」の情報の扱い方を学ぼう 6:30 Kubernetesコミュニティのグループ構成と活動領域の見つけ方 6:30 AIには別の顔を見せるWebサイト: エージェントを狙う間接プロンプトインジェクション 12月4日 6:30 【CNDW2025】なぜCloudNative DevSecOpsを推進するのか? 米軍の事例が示す「速度と安全性」の必然 12月4日 6:00 【序論】なぜ今、監視は「再発見」されるのか 12月3日 6:30

人気記事トップ10

外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう AI搭載のスマートグラス「Even G2」が国内発売ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? オープンソースの電子書籍管理ソフト「Calibre 8.15」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 「Rocky Linux 10.1」リリース IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 米Red Hat、「Red Hat Enterprise Linux 9.7」を発表 AI時代のエンジニアに求められるものとは?「生き残る」ためのキャリア戦略
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 【序論】なぜ今、監視は「再発見」されるのか 「AIを導く」のはオープンソース ー実証に基づいた明確な解を示したレポート「ソブリンAIの現状」を公開 Linuxカーネル「Linux 6.18」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 世界中の「欲しい」を10秒で叶える ─株式会社SAZOが描く越境ECの新時代 「Terraform」でコードをモジュール化して、環境を分離することで適切に管理しよう IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 【序論】なぜ今、監視は「再発見」されるのか
人気記事ランキングをもっと見る

企画広告も役立つ情報バッチリ! Sponsored

新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 1月15日 6:30 AIで激変する「DevOpsの未来」と「IT組織のリーダーが備えるべきこと」とは 2024年11月26日 8:53 仕様書からテストケースを自動生成! Autify Genesisが変えるソフトウェアテストの未来 2024年11月21日 8:04 LLMを自由に切り替え! Kongが提案するAIゲートウェイ活用法 2024年11月15日 6:12