企業の社会的責任に必要な情報セキュリティマネジメント第3回

リスク評価

表2に示したように、情報セキュリティ上のリスクをゼロにすることは不可能であり、また情報セキュリティ対策にかけるコストには限りがあることから、Planフェーズにおいて、リスク評価（あるいはリスク分析ともいう）を行う。

リスク評価とは、組織の保有する情報および情報処理設備に関連する資産（図2）に対して、その価値／重要度／脅威（注1）／脆弱性（注2）に基づき（表3）、リスクを明確にすることである。リスクを明確にした上で対応優先順位の高いリスクから、具体的な対策の内容やその範囲・深さなどを検討する。

図2：情報および情報処理設備に関連する資産の例

脅威の分類	脅威の例	対応する脆弱性の例
物理的・環境的な脅威	天災や火災	連絡体制や緊急時対応計画の整備の不備情報システムの二重化対策不備
	故障や経年劣化	機器類の保守対応の不備
	破壊や盗難	建物や室の構造の不備入退館（室）の管理の不備記憶媒体などに、容易にアクセスでき、持ち出しが可能な状態
人為的脅威	設定・運用ミス	手続、マニュアルなどの整備不備従業員の教育不足システム機能の不備
人為的脅威	機密情報漏えい、業務外利用や悪用	組織や体制の問題、低いモラル
システムやネットワーク的脅威	不正アクセス、不正侵入、ネットワーク盗聴、Webページ改竄、不正中継、サービス停止攻撃	ファイアウォールの設定不備 OS、アプリケーションのセキュリティホール

表3：脅威と脆弱性の例

※注1：
脅威とは、情報システムや組織に損失や損害をもたらすセキュリティ事故の潜在的な原因のこと。

※注2：
脆弱性とは、脅威発生を誘引する情報資産固有の弱点やセキュリティホールのこと。

出所：ISMSユーザーズガイド -ISMS認証基準（Ver.2.0）対応- -リスクマネジメント編-

リスク評価の結果に基づき、具体的に情報セキュリティ対策を検討していく。表3にあげた脅威や対応する脆弱性の例を参考にしながら、図3に示すように人的対策、物理・環境的対策、システム・ネットワーク対策をバランスよく相互に補完させながら実施することが大切である。

図3：情報セキュリティ対策実施のイメージ

この記事をシェアしてください

情報セキュリティ管理に関連する規格・法制など（後編）

情報セキュリティポリシーの作成・維持管理手順

バックナンバー

この記事の筆者

牛尾浩平

みずほ情報総研株式会社システムコンサルティング部コンサルタント

2002年、東京大学大学院工学系研究科修了、富士総合研究所（現みずほ情報総研）に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。

牛尾浩平のプロフィールを見る