【情セキ.012】リスクアセスメント
佐藤@IT雑貨屋です。
私は十五年程前に情報セキュリティコンサルタントとして多少活動をした事があります。現在はネットワーク系の仕事をしていますが、情報端末が一般化し、業務の中でもクラウド化が言われる現在において、情報セキュリティが今後のIT業務における肝になると感じ、ここで過去に学んだ事や経験した事を少しまとめたいと考え、【情セキ】として記事を書かせて頂いています。お時間のある方はお付き合い頂ければ幸いです。それでは続けます。
リスクアセスメントとはリスク分析の事を指します。ここではリスク分析から評価までのプロセスを指します。このリスクアセスメントには、ここで説明する手法の他にも様々なものが提案されています。
◆リスクマネジメントとアセスメントの違い
前の章で書かせてもらったリスクマネジメントと、ここに書くリスクアセスメントの違いについて説明します。リスクマネジメントとは、組織の持つ情報資産のリスクに関する運用、管理の事を指しますが、リスクアセスメントはPDCAサイクルの中ではPlan(計画)にサイクルに該当します。
◆リスク基準
リスクアセスメントを実施する際に、始めにリスク基準について設定しておく必要があります。このリスク基準により、情報資産の持つリスクの中でも基準に満たないリスクについては対策を講じません。要は「リスクを受容する」という事になります。リスクマネジメントは全てのリスクを管理出来れば、それに越した事はありませんが、基準を設ける事でより必要な情報資産への対策を集中して行う事が出来ます。
◆リスクアセスメントのプロセス
リスクアセスメントは以下のプロセスで実施します。
①リスク特定
情報資産のリスクを発見して確認し、記録します。
②リスク分析
特定したリスクについて、情報資産に対する脅威と脆弱性を検討します。ここでは
リスクの発生確率や影響の度合いを検討しますが、影響の大きさについては、その
被害額や復旧にかかる費用なども併せて検討します。
このリスク分析の手法には、以下の2つがあります。
・定性的リスク分析:リスクの大きさを金額以外で分析する
・定量的リスク分析:リスクの大きさを金額で分析する
➂リスク評価
分析したリスクに対して、どの様な対策を行うか判断するのがリスク評価です。
ここでリスクが受容可能かをリスク基準に基づき判断して決定します。また対策
には評価基準などを設けて優先度を決定します。
◆リスク選好とリスク忌避
リスク選好(risk appetite)とは、リスクある取引を行う事を指し、リスク忌避(risk aversion)とはリスクある取引は行わない事を指します。リスクアセスメントでは、情報資産のリスクで、こういった観点の評価を実施します。
◆リスクレベル
リスクレベルとはリスクの優先度のことです。リスクんは重大性(重篤性とも言う)と発生の可能性の二つの度合いがあります。これらを組み合わせてリスクレベルを評価します。
◆リスク分析の手法
リスク分析の代表的な手法として、以下のものがあります。
①ベースラインアプローチ
既存の標準や基準をベースラインとして組織の対策基準を策定し、チェックして
いく手法
②非形式的アプローチ
コンサルタントや担当者の経験、判断により行う手法
➂評価リスク分析
情報資産に対して、資産価値、脅威、脆弱性、セキュリティ要件などを識別し、
評価していく手法
④組み合わせアプロ―チ
複数のアプローチを組み合わせて併用する手法
◆脅威分析
情報資産にどの様な脅威があり、対処する必要があるのかを洗い出しします。この脅威分析の手法には、以下のものがあります。
①STRIDE分析
情報システムに生じる脅威を洗い出すために行う分析で、次の6つの観点から脅威
を洗い出していきます。
・Spoofing(なりすまし)
・Tampering(改竄)
・Repudiation(否認)
・Information disclosure(情報漏洩)
・Denial of service(サービス不能攻撃)
・Elevation of privilege(権限昇格)
②アタックツリー分析(ATA)
発見された脅威を引き起こす原因を列挙するために行う分析で、ツリー(木)構造
を用いて攻撃者の目標をまずは特定し、ルート(木の根)に記載します。その後、
特定した目標についての攻撃手段を洗い出し、段階的にノード(節)に記載して
いきます。
このリスクアセスメントの参考資料はJIPDEC(日本情報経済社会推進協会)のHPにも参考文献が公開されていますので、参考にすると良いでしょう。
(URL:https://www.jipdec.or.jp/index.html)