4.1 リスクの概念とリスクアセスメント
情報セキュリティ対策の効果を高めるためには、リスク分散によって組織に内在する様々な情報リスクを洗い出すと共に、その影響度を分析・評価し、有効な対策を導き出す必要がある。この一連の取り組みをリスクアセスメントという。ここでは情報リスクを構成する要素とリスクアセスメントの中で用いるリスク分析手法について解説する。
4.1.1 投機的リスクと純粋リスク
リスク
リスク(Risk)を辞書で引くと「危険」の意味になるが、本来「リスク」とは「何らかの事態が発生することに関して不確実性」を意味する。何らかの事態とは、必ずしも損失を発生させる悪いことばかりではなく、利益を生むことも含まれている。
リスクの種類
リスクには、投機的リスク(動態的リスク)と純粋リスク(静態的リスク)のふたつがある。
投機的リスク
株価や為替相場のように、利益と損失のいずれかを生む可能性がある不確実性のことを指す。したがって、投機的リスクが顕在化すると、利益と損失のいずれかをもたらすことになる。
純粋リスク
損失のみを生む可能性がある不確実性のことをさす。したがって、純粋リスクが顕在化すると、損失のみをもたらすことになる。情報セキュリティにおけるリスク分析やリスクアセスメントでは、純粋リスクを対象として取り扱う。
4.1.2 リスクの構成要素と損失
情報リスクを構成する要素
組織として守るべき価値を持つ情報資産があり、かつ災害、事故、不正行為などの脅威が存在し、さらに脅威を発生させやすくしたり、それを助長したりする脆弱性があることで潜在的な情報リスクとなり、その顕在化によって損失が発生する。つまり、情報資産、脅威、脆弱性の三つが情報リスクを構成する要素である。
情報資産
情報資産とは、「組織にとって守るべき価値を持つ情報及びそれを取り扱う一連の仕組みである情報システム」と定義することができる。具体的には顧客情報、製品情報、財務情報、経営戦略、マーケティング情報など、組織が業務で行う上で必要な情報そのもと、それを取り扱うために必要なハードウェア、ソフトウェア、ネットワークなどの情報システムを構成する各要素があげられる。
脅威
脅威とは情報資産に影響を与え、損失を発生させる直接の要因となるものである。
脆弱性
脆弱性とは、脅威と結びつくことで、情報漏洩や紛失、改竄などの損失を発生させたり、拡大させたりする要因となる弱点や欠陥のこと。
リスクと損失の関係
純粋リスクが顕在化すると損失が発生する。事故や不正行為などの脅威によって、本来、情報や情報システムに期待される状態(正常な状態)に差異が生じた時に損失が発生する。この差異が生じる不確実性がリスクであり生じた差異そのものが損失となる。
| リスクと損失の関係 |
|---|
 |
損失の種類
純粋リスクの顕在化によって生じる損失は次の三つがある。
| 損失の種類と具体例 |
|---|
 |
損失額の算出
リスクアセスメントを実施するためには、リスク顕在化に伴う損失額をどのように見積もるのかが大きな課題である。資産損失のような直接損失は比較的測定しやすいが、信用失墜などによる収益損失、責任損失などの関節損失についての測定は非常に困難である。
4.1.3 リスクアセスメントの概要
ISO/IEC 27001(JIS Q 27001)ではリスクに関する用語について次のように定義している。
| ISO/IEC 27001(JIS Q 27001)におけるリスクに関する用語の定義 |
|---|
 |
有効な情報セキュリティマネジメント体制を確立するためのPlanフェーズの取り組みとして、リスクアセスメントは必須の作業であり、それはリスク分析とリスク評価までのプロセスからなる。ただし、リスク分析やリスク評価には特定の方法がないため、簡易的なものから詳細なものまで、いくつかの種類の中から、適切な手法を選択する必要がある。ここでは、まずリスクアセスメントの目的や効果、代表的なリスク分析方法の概要について解説する。
リスクアセスメントの目的と効果
リスクアセスメントの目的は、組織やシステムに内在するリスクの大きさや影響度を知ることで、効果的なセキュリティ対策プランを導き出すことと言える。 リスクアセスメント結果に基づいてセキュリティ対策を施すことにより、限られた予算を有効活用して最大の対策効果を得ることが可能である。
リスクアセスメントに関する企画
ISO/IEC 31010:2009/JIS Q 31010:2012(リスクマネジメント、リスクアセスメント技法)
リスクアセスメントのための体型的技法の選択及び適用に関する手引きを提供する。リスクアセスメントは「リスク特定、リスク分析及びリスク評価の全般的なプロセス」としている。
リスク分析方法の種類
リスクアセスメントの最初に行うリスク分析は、その具体的な手法や手順によっていくつかの種類に分類される。どのような組織や情報システムにも合致する絶対的なリスク分析手法というものはなく、またいずれの手法にもメリットとデメリットがあるので、それを認識した上で最適なリスク分析手法を選択する必要がある。 主なリスク分析手法の概要を次に示す。
| 主なリスク分析手法の概要 |
|---|
 |
ベースラインアプローチ(簡易リスク分析)
一般に公開されている基準やガイドライン、チェックリストなどを用いて簡易にリスク分析を行う手法。リスクを構成する要素である情報資産、脅威、脆弱性の洗い出しなどは行わず、アンケートやチェックリストなどの質問に答えることで、組織や情報システムにおけるセキュリティ上の問題点を洗い出す。
非公式アプローチ(リスク分析者の知識と経験によるリスク分析)
体系化された方法や基準などは使わず、分析者の知識と経験によって行われるリスク分析手法。決められた手順に従うことなく、あくまでも分析者の考え方次第で具体的な進め方が決まる。この分析方法の特徴は、良くも悪くも、分析結果が分析者に大きく依存することである。そのため、短期間で非常に信頼性の高い分析結果が得られる場合もあれば逆に時間を費やすばかりで稚拙な分析結果しか得られない場合もあり得る。
詳細リスク分析
リスクを構成する要素である情報資産、脅威、脆弱性の洗い出し評価を行い、そこからリスクの大きさを評価する分析手法。ベースラインアプローチに比べ多くの時間や手間がかかるが、その分、高品質な分析結果を得ることが可能である。 リスクの評価(大きさの算出)については、時間やコストの制約などによって、後述する定性的、定量的のどちらかの評価手法を用いることになる。具体的な分析手法について4.1.4で解説する。
組み合わせアプローチ
リスク分析の対象となる組織や情報システムの重要度などによって、ベースラインアプローチと詳細リスク分析とを組み合わせて行うというもの。 リスク分析の対象が大規模で広範囲に渡るような場合、その全てに詳細リスク分析を適用していると、膨大な時間とコストが必要となる。そのため、分析結果が出る頃には、状況が変わってしまっている可能性もある。そこで、時間とコストを適切に使い、有効なリスク分析結果を得るための最良の方法として考え出されたのが組み合わせアプローチである。
リスク分析で用いる調査手法
リスク分析の家庭で用いる主な調査手法を次に示す。
| リスク分析で用いる主な調査手法 |
|---|
 |
リスク分析に関する手法やツール
JRAM\JRMS2010
JRAM (JIPDEC Risk Analysis Method)は一般財団法人 日本情報経済社会推進機構協会(JIPDEC。旧名称は財団法人 日本除法処理開発協会)が開発したリスク分析手法で、1992年に発行された。その後JIPDECではISO31000リスクマネジメント規格の考え方を取り入れると共に、成熟したモデルやギャップ分析の手法を導入した新たなリスクマネジメとシステムあるJRMS2010を2010年5月に公表した。
CRAMM
CRAMM(CCTA Risk Analysis Management Methodology)は英国のCCTA(Central Computer and Telecommunications Agency)が開発したリスク分析及びリスクマネジメントの手法。
リスク評価方法の種類
リスクの大きさ(リスク強度)を算出し、評価する方法には、定性的評価と定量的評価がある。
定性的評価
定性的方かとは、リスクの大きさを金額以外(大中小などのレベルや相対的な値など)で表す評価手法である。 定性的評価は定量的評価の前段階として、評価結果を算出するためのロジックがあれば、特別な専門技術や経験を持たないものが評価を行ったとしても、比較的短時間で結果を得ることができる。しかし、いかに優れたロジックがあったとしても、それだけに頼って組織のリスクを機械的に評価するべきではない。実際には業務内容やシステムの実情などを熟知した社員や、リスクに関する知識のあるものなどが、評価結果をレビューをし、その適切性を確認するとともに、実態に即した内容に調整する必要がある。
定量的評価
定量的評価とは、リスクの大きさを金額で表す評価方法である。定量的評価はセキュリティ対策費用を算出する上で有効な評価手法と言える。しかし、損失金額を正確に求めるのは容易なことではなく、実際にはどこまで信頼できる損失金額が導き出せるのかは、評価者の技量に大きく依存する。例えば、ノートPCの盗難によるリスクを想定した場合、PC事態の資産損失額を算出するのは容易だが、そこに保存されていた顧客情報の漏洩に伴う間接的な損失額を算出するのは非常に困難である。間接損失額の算出には過去の判例を用いるなどの方法が考えられるが、情報量は限られており、ここのケースに条件が完全に合致することもないため、いくつかの過程や前提の上でしか算出しようがない。また算出結果の信憑性を検証することも非常に困難である。
このように両者にはそれぞれ特徴があり、一概にどちらかがいい、あるいは悪いとは言えない。両方の特徴をよく理解した上で、より適切な方法を選択、もしくは組み合わせるる必要がある。
4.1.4 詳細リスク分析・評価の手順
詳細リスク分析は適切に実施されさえすれば、組織や情報システムのリスクを認識し、効果的なセキュリティ対策の導出につなげることが可能である。ここでは詳細リスク分析の実施手順について解説する。
詳細リスク分析・評価の流れ
詳細リスク分析では、分析対象となる組織や情報システムにおける情報資産、脅威、脆弱性の洗い出し、それらの関連性からリスクを洗い出し、その大きさを評価するというステップを踏む。各ステップにおいて洗い出された内容を明文化することで、実態や判断基準などが整理・分類され、リスク分析結果を客観的に評価することも可能である。 ここからは次の図に示す流れを前提として、各ステップにおける作業内容や留意点を解説する。
| 詳細分析や評価の流れ |
|---|
 |
詳細分析・評価の各ステップにおける作業概要
ステップ1:リスク分析範囲の決定
リスク分析の実態にあたり、まずその対象範囲を特定する。想定される対象範囲としては全社、特定の事業所、事業部、情報システムなどがあげられる。最初は特定の範囲に限定して実施し、徐々に対象範囲を広げていく方が確実な方法と言える。
ステップ2:対象となる情報資産の種別の決定
リスク分析の対象範囲に続いて、対象とする情報資産の種別について決定する。リスク分析の目的や確保可能な時間、コスト、人的リソースなどによって、分析の対象とする情報資産の種別や範囲(電子化された情報資産のみが対象、紙媒体も含めた全ての情報資産が対象など)を明確にする。
ステップ3:情報資産の洗い出し
4.5を参照
ステップ4:情報資産の分類
4.5を参照
ステップ5:脅威の洗い出し
ステップ3で洗い出された情報資産に何らかの影響を与え、損失を発生させる直後の要因となる脅威を洗い出す。 この作業における主な着眼点は次の通り。
- 誰が/何を
外部からの侵入者、一般社員、協力会社社員、システム管理者、マルウェア、インターネット上の無数のボット、災害、故障など - 何を目的に
金銭、嫌がらせ、自己顕示、興味本位など - どこから
インターネット、社内LAN、無線LANなど - どのようにして
ローカル端末の操作、正規ユーザーになりすます、誤って、無意識のうちに、意図的になど - 何をするのか
不正ログインを試みる、物理的に侵入を試みる、パケットを盗聴する、パケットを大量に送りつける、不正なコマンドを発行する、クライアントPCに侵入する、感染・発病するなど
ステップ6:脆弱性の洗い出し
脅威の洗い出しと同様に、リスク分析の対象は担いに存在する脆弱性を洗い出す。この作業における主な着眼点は次の通り。
- 誰の/何の
一般ユーザーの、システム管理者の、サーバの、ソフトウェアの、ネットワークの、設備の、組織の、不足事態発生時のなど - どこが/何が
意識、設定、体制、方針、手順、教育、バージョン、保守など - どうなっているか
低い、古い、決められていない、守られていない、形骸化している、軽農していない、実施していない、確認していない、放置されているなど
ステップ7:リスクの洗い出し
ステップ6までの作業によって洗い出された情報資産、脅威、脆弱性の関連性を分析し、想定されれ雨リスクを洗い出す。簡単例を次の表に示す。
| リスクの洗い出しの例 |
|---|
 |
各要素の関係は1対1で存在しているわけではない。実際にはある情報資産に対していくつもの脅威が存在し、脆弱性も複数存在する。また、リスクの複数の脆弱性と結びつくことにより、段階的により大きなリスクへと増大していく可能性があるため、洗い出しにおいてはこの点についても考慮する必要がある。リスクが増大していく簡単な例を次に示す。
| リスク増大の例 |
|---|
 |
ステップ8:リスクの大きさ評価
洗い出されたリスクが顕在化する可能性や損害を受ける情報資産の重要度などにより、各リスクの大きさを評価する。前述のように、リスク強度の評価方法には定性的評価と定量的評価のふたつがある。ここでは定性的評価、定量的評価それぞれの具体例を次に示す。
| 定性的評価によるリスク評価の例 |
|---|
 |
上記の表では、情報レベル × 脅威レベル × 脆弱性レベルによってリスクの大きさを評価している。
| 定量的評価によるリスク評価の例 |
|---|
 |
