私は、多くの中小企業(従業員50人以下)が、ISO 27001導入プロジェクトの一環として、リスクアセスメント・ツールを利用しようとするところを見てきました。リスクアセスメント・ツールの利用は、一般に時間と金がかかり過ぎ、そのわりに効果がないというのが結論です。
そもそも、リスクアセスメントとは何であり、その目的は何なのでしょうか。リスクアセスメントとは、組織における情報セキュリティ・リスクの発生率や影響を特定するプロセスのことです。簡単に言えば、組織は情報に関するあらゆる潜在的な問題や、その発生率や、その影響を認識する必要があります。リスクアセスメントの目的は、リスクを減らすために必要な管理策を発見することです。管理策の選択はリスク対応プロセスと呼ばれています。ISO 27001では、付属書Aで指定された133の管理策から選択されます。
リスクアセスメントは、資産・ぜい弱性・脅威の特定と評価によって実現されます。 資産とは、ハードウェア、ソフトウェア、人材、インフラストラクチャ、(さまざまな形式や媒体の)データ、供給者、パートナーなど、組織にとって価値あるもののすべてです。 ぜい弱性とは、脅威によって利用される可能性のある資産・プロセス・管理策などの弱点のことです。脅威とは、システムや組織に損害を与える可能性のある要因のすべてです。ぜい弱性の例としては、アンチ・ウィルス・ソフトウェアの欠如があります。これに対応する脅威は、コンピュータ・ウィルスです。
これらを前提に考えると、組織が小さい場合には、実際にはリスクアセスメントを行うために高度なツールは必要ないことがわかります。必要なのは、Excelスプレッドシート、ぜい弱性・脅威のカタログ、および優れたリスクアセスメントの方法論だけです。 実際の主な仕事は、確率・影響を評価することであり、これはいかなるツールでも行えません。資産についての知識を持つ資産の所有者が考えなければならないことです。
では、そのカタログや方法論はどこから得られるのでしょうか。 コンサルタントのサービスを利用している場合には、コンサルタントが提供してくれるはずです。それ以外の場合にも、インターネット上で入手できる無料のカタログがあるので、Googleで検索するだけで済みます。方法論は無料では手に入りませんが、(リスクアセスメントおよび対応を詳しく記述した)ISO 27005規格や、方法論を販売している他のウェブサイトを利用することができます。これにかかる時間やお金は、リスクアセスメント・ツールを購入したり、その使い方を勉強したりするより、はるかに少なくてすみます。
優れた方法論には、資産・脅威・ぜい弱性を特定する方法、確率や影響を記録する表、リスクを計算したり受容できるリスクのレベルを定義したりする方法が含まれています。 カタログには、最低でも30個のぜい弱性と30個の脅威が含まれている必要があります。このそれぞれが数百個も含まれているカタログもありますが、中小企業にとってはおそらく多すぎるでしょう。
実際のプロセスはそれほど複雑ではありません。評価および対応の基本手順は、以下の通りです。
- 方法論(カタログを含む)を定義・文書化して、組織内の全資産所有者に配布する
- 資産所有者との面談の機会を設定し、その中で資産および関連するぜい弱性や脅威を特定してもらう。次の段階として、特定のリスクが発生した場合の、確率および影響の評価を依頼する
- データを単一のスプレッドシートにまとめて、リスクを計算し、どのリスクが許容できないかを示す
- 許容できないリスクごとに、ISO 27001の附属書Aから1つ以上の管理策を選択して、その管理策を導入した後の新しいリスクレベルを計算する
結論:リスクアセスメントおよび対応は、情報セキュリティ/ISO 27001の基盤ですが、必ずしも複雑ではありません。これらは簡単な方法で実行でき、実際に重要なのはあなたの常識です。
—
詳しくは、Diagram of ISO 27001:2013 Risk Assessment and Treatment process を無料ダウンロードのうえご参照ください。