ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第6回 リスクアセスメントって何をやるの? | ScanNetSecurity
2024.05.17(金)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第6回 リスクアセスメントって何をやるの?

ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋

特集 特集
ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
太田 智明
浦名 祐輔
http://rm.jmc.ne.jp/service/iso27001/27column06.html

<ISO27001新米担当者のつぶやき>

■いよいよリスクアセスメント

こんにちは、磯一郎です。

前回は情報セキュリティ方針についての検討でしたが、コンサルタントの山田太一さんからの助言もあり、今回のプロジェクトリーダーである専務に作成していただくことになりました。

さて、明日からは、いよいよリスクアセスメントについての打ち合わせとなります。事前に予習をしようと、ISO27001の規格本とみらめっこをしているのですが、

・リスクアセスメントをやる際には方法を特定する

・リスク対応について選択肢を明確にする…

う〜ん。やはり規格本を読んでもチンプンカンプンです。明日コンサルタントに聞いてみよう。

<ISO27001コンサルタントからのアドバイス>

■非常に重要なポイントである「リスクアセスメント」

本日は、リスクアセスメントのお話をさせていただきます。

リスクアセスメントとは簡単に言うと、企業の仕組みや体制におけるセキュリティの穴(=リスク)を見つけ、その穴がどれだけの影響があるのかを評価し、その評価を元に新しいルール作成やツールの導入などのアクションを考えていくことです。

そして、これから進めるこのリスクアセスメントが、ISO27001の規格では非常に重要なポイントになります。

なぜならば、これから新しく作成されるルールや導入されるシステムやツールの導入などの対策は、このリスクアセスメントのプロセスを経て実現されるものだからです。(審査においても、作成されたルールはどのようなリスクが元になり、作られたのかを確認されます。)

■リスクアセスメントの流れ

まずは、リスクアセスメントをどのように実施するか方法を検討します。

ISO27001の規格では、「リスクアセスメントはこの方法で実施しなさい」など具体的な方法は求められていないので、業種、業態に合わせたやり方で問題ありません。現在では、ツールなどを使用してリスクアセスメントを行う方法が一般的になっています。

手順に含まなければならない主な項目は次のとおりです。

【資産の洗い出し】

ここでは、会社にどのような資産が存在するかを洗い出します。

その際に、実際の業務で発生するインプット情報、アウトプット情報を抽出します。

ポイントとしては、A社見積もり、B社見積もり…のように同じ重要度、取扱い方法のものは、まとめて洗いだすことです。

さらに、それぞれの資産に対して「管理者」を定めてください。

【リスクの評価】

次に、その洗い出した資産に対して、どのような「脅威」が考えられるか、現状の管理状況「脆弱性」は何かを検討します。

例えば、机の上に重要と位置付けた顧客提案書があったと想定します。

その状態に対して、
脅威:部外者の人が入って来て情報を盗まれてしまう
脆弱性:現状では、整理整頓のルールがなく従業員の意識に頼ってしまっている

さらに、上記の脅威が発生することにより、リスクがあるかないか、大きいか小さいかを評価し、対策が必要なリスクを抽出します。

リスクアセスメント方法の具体例

(1)詳細リスクアセスメント
資産一つひとつに対して細かく評価を実施していく手法。
書類やデータなど一つひとつ取扱いが違う物に対して評価する際に使用することが多い。
(2)ベースラインアプローチ
事前に一定の基準を設けそれを上回っているか下回っているかでリスクのありなしを判断する手法。
建物などに対してチェックリスト形式で評価することが多い。

【リスクの対応】

上記で洗い出したリスクに対して、「対策の方針」を検討します。

ここでは4つの分類から選択します。

軽減:何かしらの対策を取り、リスクを減らす行動を取る。
受容:リスクとしては認識したが、今回は対策は取らない。
回避:業務上のプロセス自体をなくす。
転化:保険などにより補てんする。

おそらく、多くのリスクは軽減策を選択することになり、そこからは具体的な対策を検討します。

例えば、
・セキュリティのルールとして整理整頓に関するルールを作成する。
・その後、ルールを従業員に周知徹底を図るために教育する。など

【経営陣の承認】

上記リスク対応にて検討した対策について、「経営陣の承認」をもらいます。リスク対応を実行する際には、ルール作成や設備などの人・金銭・時間の投資が発生します。内容によっては経営にも影響が出てくる場合もあるため、経営陣から実行の承認を得てください。

なお、報告の際はリスク対応について「いつ」「誰が」「何を」を明確にして、経営者が把握しやすい形にすることを心がけてください。

【適用宣言書の作成】

今回リスクとして抽出された事項と…

【執筆:太田 智明、浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/iso27001/27column06.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性 画像

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性
マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件 画像

マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件
Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ 画像

Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report) 画像

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に 画像

DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に
サイボウズGaroon に複数の脆弱性 画像

サイボウズGaroon に複数の脆弱性

インシデント・事故 記事一覧へ

検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃 画像

検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃
ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入 画像

ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入
東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される 画像

東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される
個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕 画像

個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕
「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい 画像

「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい
東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服 画像

東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

調査・レポート・白書・ガイドライン 記事一覧へ

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開 画像

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開
日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート 画像

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート
脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺 画像

脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺
サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査 画像

サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査
Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」 画像

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」
ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表 画像

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表

研修・セミナー・カンファレンス 記事一覧へ

NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可 画像

NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可
毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ~ AeyeScan「診断マネジメントプラットフォーム」 画像

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ~ AeyeScan「診断マネジメントプラットフォーム」
セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催 画像

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催
脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説 画像

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向 画像

ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感 画像

SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

製品・サービス・業界動向 記事一覧へ

「Cloudbase」が Oracle Cloud Infrastructure 対応 画像

「Cloudbase」が Oracle Cloud Infrastructure 対応
認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは 画像

認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは
「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付 画像

「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付
脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得 画像

脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得
「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載 画像

「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載
暗所や逆光にも対応、両備システムズの多要素認証「ARCACLAVIS」がパナソニックの顔認証に対応 画像

暗所や逆光にも対応、両備システムズの多要素認証「ARCACLAVIS」がパナソニックの顔認証に対応

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×