企業情報を守るための基本
【実録】ISMS構築・運用ステップ・バイ・ステップ

第2回 情報資産の洗い出しとリスクアセスメント

野坂克征
シーフォーテクノロジー
ITセキュリティ委員会
2003/8/7



 「第1回 ISMS認証取得セキュリティ委員会の役割」では、株式会社シーフォーテクノロジー(以下、C4T)のITセキュリティ委員会設置の経緯とその役割を説明した。今回は、基本方針の発令からリスクアセスメントの実施までのプロセスを説明していく。

 また、本連載は、認証の取得を目指す企業や組織のみを対象とするものではない。セキュリティポリシーのみを策定したい企業や組織にもぜひ参考としていただきたい。

※お断り
本連載は、ISMSや情報セキュリティに対してある程度の理解があり、実際にISMSの採用を考えている企業の方を対象としている。用語や仕組みの詳細解説は、セキュリティ用語事典記事末の関連記事などを参照していただきたい。

   まずはリスクアセスメントがISMS構築の柱

●ISMSの構築期間

 ISMS(情報セキュリティマネジメントシステム)の構築を始めてから運用を開始するまでの期間は9カ月程度であった。ただし、運用を開始した後に、事務所の移転を行ったため、再度リスクアセスメントからリスクマネジメントの再分析を行った。現在は、その結果によって更新した後の管理策に基づいた運用を行っている。



セキュリティ対策は、リスクが発生したら直ちに対策を取ることが肝要だ。ISMSの構築に関しても同じで、近い将来に事務所の移転を行うとか、組織体系が変わるなどの予定があったとしても、情報セキュリティ対策の必要性があるのであれば、そのような変更が終わるのを待つのではなく、すぐに構築に取り掛かるべきだろう。

組織内の変化にかかわらず、新しいウイルスやネットワークシステムへの攻撃法、法律の施行など、事業を取り巻く環境は日々進化している。このような環境下では、できる限り早くISMSを構築することがよい。組織の大小にもよるだろうが、構築に対する意欲を持続するといった意味合いからも、1年以内で構築することを目指すとよいだろう。

また、環境は日々変化するものだと認識し、変化があるたびに前向きに対応していくといった姿勢が大切だ。

●準拠する規格

 C4T社のISMSの基本は、仕様および利用の手引きである「BS7799 Part2」に準拠するよう努めた。次に、リスクアセスメントの手法やリスク値の算出方法は、具体的なプロセスの構築を助ける「DISC PD 3000」シリーズを参考にした。また、詳細な管理規定の作成には、ガイドラインである「BS7799 Part1」を参考にした。いずれも発行元はBSI(British Standards Institution:英国規格協会)である。

 そのほかのISMSの主な規格には、日本情報処理開発協会(JIPDEC)基準の「ISMS認証基準」があるが、内容は「BS7799 Part2」の内容をほぼ踏襲したものであるため、規格の本質を理解するという意味からも、その原本である「BS7799 Part2」を選択した。



英国の各規格を参考にする場合は、英語版もしくは英和対訳版を使用することをお勧めする。日本語訳で意味の分からない場合は、英語の原文を参照しよう。英国の各規格は、日本規格協会で手に入る。最低1部ずつ手元に用意しておくとよいだろう。


日本語訳は、「ISMS認証基準」の方が分かりやすいが、使用する際は、英国規格との差異を確認しておくとよいだろう。

※「ISMS認証基準」は下記のJIPDECのサイトからダウンロードできる。
http://www.isms.jipdec.or.jp/v2/v2.html

 次に、情報セキュリティ基本方針と適用範囲の決定について説明する。

●情報セキュリティ基本方針

 情報セキュリティ基本方針(以後、基本方針)は、C4T社の情報セキュリティに対する姿勢を文頭に、同社が実施する情報セキュリティポリシーの重要項目をまとめた。完成の後、2002年10月の全体会議(月1回行われる)において、社長より発令し、各業務フロアに掲示した。そのほか、情報セキュリティに関する社内向けの冊子(2003年4月発行)に記載し、自社Webサイトにも掲載(2003年4月)した。



一般に、基本方針は、従業員に周知されるとともに、取引先などへのアピールにも用いられる。何のために情報セキュリティポリシーを構築するのか? といった“目的”を明確にし、簡潔で分かりやすい内容にするとよいだろう。通常、A4用紙1枚程度で作成されている。

●適用範囲の決定

 適用範囲とは、情報セキュリティの対策を施す対象とするエリアのことである。基本方針とともに、ISMSを構築するにあたり、初期の段階で決定しておくべき事項の1つでもある。

 ISMSの構築を始めた当時は、各部門が1つのビルの各階に点在していた。また、開発部門には、親会社からの派遣社員や、子会社の従業員が常駐していたため、それらの社員と情報を共有するために別のネットワークを構築していた。

 このような背景から、

  1. 子会社、派遣社員を含んだすべての社員とそのフロア
  2. セキュリティ部門のみ
  3. 開発部門フロアを除いた全社
 といった3つの案が出ていた。

 当時、開発部門では、ネットワークが2本に分かれていることにより、情報共有がうまくいかず、少なからず業務の効率を落としていた。そこで、適用範囲の決定よりリスクアセスメントを先行して行い、開発部門を適用範囲に含めるかを検討することにした。
 
 リスクアセスメントを行うことにより、リスクの大きさを明確に判断することができ、具体的な解決策が浮かび上がってきた。いくつかの問題をクリアすることで、ネットワークを1つにすること=効率的な情報共有を行えることが判明したため、適用範囲を前述の候補の「1.子会社、派遣社員を含んだすべての社員とそのフロア」とすることに決定した。



一般的には、基本方針の発令→適用範囲の決定→リスクアセスメントの順番で行うものととらえられている。しかし、基本方針や適用範囲を決める際に問題があるようであれば、先にリスクアセスメントを行うことが有効な場合もある。

 ここからは、リスクアセスメントについて説明する。

●リスクアセスメントの定義

 リスクアセスメントとは、情報資産に対するセキュリティリスクを識別し、リスクの大きさを決定するプロセスである。



リスクアセスメントは、ISMSを構築する中で、最もパワーを使うプロセスである。また、このプロセスは、必要な時間をかけて十分に行っておかないと、穴だらけで無駄の多い管理策が生まれてくることになる。すなわち、リスクアセスメントの質が、ISMSの質に比例するといってよい。一般従業員にも大きな負担を課すことになるので、事前に目的と効果を周知しておくとよいだろう。

図1 ISMSを構築するに当たってのリスクアセスメントの規定から承認までの流れ

●リスクアセスメントの準備

 リスクアセスメントを行う際は、リスクを評価する基準や、実際に分析を行うためのシートなどを用意しておく必要がある。

 委員会では、リスクアセスメントにおける手順および約束事、各用語の定義と分類、許容できるリスクレベルを、リスクアセスメント規定に規定した。さらに、実際の作業に必要な約束事および記入用シートを別紙で作成した。

 作成した別紙の内容は下記のとおりである。
 
・別紙1:リスクアセスメントシート

 目的:各情報資産の、数値化した脅威、発生頻度、脆弱性を記入し、リスク値を算出する。また、同別紙において、下記用語について定義付けと分類もしくは種類を記した。

  • 情報資産
  • 脅威
  • 脆弱性
 さらに、下記用語について数値化の定義付けを記した。
  • 機密性
  • 完全性
  • 可用性
  • 情報資産価値
  • 脅威の大きさ
  • 脅威の発生頻度
  • 各脆弱性の大きさ
  • 脆弱値
  • リスクの大きさ
  • (最終的な)リスク値



脅威や脆弱性の洗い出しと定義付けには、対象となる情報資産と取り巻く環境の知識が必要かもしれない。ISMSに関連する書籍や、BSIジャパンが提供する「DISC PD 3002」(BS7799リスクマネジメントおよびリスクマネジメントへのガイド)を参照すると、定義付けも行いやすいだろう。

・別紙2:リスク値一覧表

 目的:リスクアセスメントシートによって算出したリスク値を、部署ごとに集約する。リスク値が一覧になり評価する場合に見やすい。

・別紙3:財産目録

 目的:すべての情報資産を網羅し、各情報資産に対する責任者を明確にし、各情報資産に対するリスクアセスメントからリスクマネジメントまでの分析を行う。

 さらに財産目録について説明する。財産目録は、縦列に記した部署ごとのすべての情報資産に対して、横列に記入した各項目に該当する事項を記述する形式にしている。横列の項目は下記のとおりである。

  • 機密性
  • 完全性
  • 可用性
  • 上記3つの合計値
  • 責任者
  • 脆弱性
  • 脅威
  • 影響
  • 満足している(対策を必要としない)部分
  • 満足していない(対策が必要な)部分
  • 思いつく対策
  • 最善と思われる対策
 このとおり、財産目録には、リスクマネジメントに該当する項目も含めている。なお、リスクマネジメントについては第3回で解説する。



リスクアセスメントとリスクマネジメントを別シートに切り分けて行う手法もあろう。
C4T社では、リスクアセスメントとリスクマネジメントを同じ部門で行っているため、一緒にしてある。

・別紙4:脅威・脆弱性とセキュリティ懸念事項

 目的:分類した脅威、脆弱性に対する、各セキュリティ懸念事項の該当項目を選択する指針を示す。

・別紙5:管理策とセキュリティ懸念事項

 目的:ISMS認証などで規定されている127の管理策に対する、各セキュリティ懸念事項の該当項目を選択する指針を示す。



各セキュリティ懸念事項に対して、どの管理策で対策を行うかの指標は大事だ。後に述べる適用宣言書にもつながる要件でもある。

また、断っておくが、リスクアセスメントの手法やツールに決まりはない。ツールの名称を含め、組織によって使いやすければ何でもよい。

●資産の分類

 委員会では、情報資産を、

  1. PCや共有サーバ内に保管される電子データである情報資産 
  2. 紙、記憶媒体などの情報資産
  3. 物理的資産、設備、サービス
の3つのカテゴリに分類した。

 また、各カテゴリにおいて、すべての情報資産を洗い出し、資産の責任者とともに財産目録に記載した。

情報資産の洗い出しは、漏れがないように行いたい。また、その際に責任者を決めておくことも重要だ。管理者のいない資産は存在してはならない。

●機密の分類

 委員会では、資産の機密を、 以下のように分類した。

  1. 極秘 
  2. 関係者外秘(部門もしくはプロジェクトメンバー共有)
  3. 社外秘(社員共有)
  4. 一般(公開情報) 

機密の分類もまた、取り扱っている情報資産の種類や組織の体制によって、定義や分類方法が異なるべきだ。さらに、情報を共有するメンバー内では、同じ機密の重み付けができるよう、認識を統一しておくことが重要だ。

●リスクアセスメントの実行
 
 以上で、リスクアセスメントを行うための準備がそろった。委員会の委員を中心に、先に作成しておいたリスクアセスメント規定を基に、財産目録とリスクアセスメントシートの2つのシートに記入していく形式で、リスクアセスメントを行う。

 実はここで困ったことが起きた。作業がスタートして間もなく、機密の重み付けに差があるにもかかわらず、最終的に算出されたリスク値にあまり数値の差が表れなかったのだ。数値化の定義は十分に行ったつもりであったが、どうやら、情報資産価値(機密性、完全性、可用性の合計数値を、その数値の大きさに応じて3段階に置き換えた数値)の算出基準に問題があったようだ。しかたがないので、算出基準を見直し、再度リスクアセスメントを行った。

リスクアセスメントにおける手順や定義を一度決定してからの変更はリスクアセスメントのやり直しを行うことになり、リスクアセスメントを行う担当者に負担を強いてしまうことになる。決定の前に、もっと十分なサンプルを用いたシミュレーションをしておくべきだった。

●リスクアセスメントの結果

 リスクアセスメント結果について、数値結果は、リスクアセスメントシートで算出したリスク値を、部署ごとに、一覧表にまとめた。また、この一覧表では、リスクアセスメント規定で定めたリスク値にラインを引き、リスク値を上回る情報資産とリスク値を下回る情報資産を明確に識別できるようにした。

 リスクアセスメント結果について、脅威や脆弱性の種類とリスクに対して有効的と考えられる管理策は、財産目録に列挙した。

一般に、リスクアセスメントの結果は、経営トップに報告され、容認される。また、リスクアセスメントを行う部門とリスクマネジメントを行う部門が分かれている場合、リスクアセスメント結果は、リスクマネジメントを行う部門に報告される。

 従って、リスクアセスメント結果は、だれが見ても分かりやすく表示もしくは記載するべきだ。

 今回は、基本方針の発令からリスクアセスメントまでを説明した。次回は、リスクマネジメントについて、説明していく。

第1回」へ 第3回」へ

Index
【実録】ISMS構築・運用ステップ・バイ・ステップ
  第1回 ISMS認証取得セキュリティ委員会の役割
第2回 情報資産の洗い出しとリスクアセスメント
  第3回 リスクマネジメントとその管理策
  第4回 ISMSは生かし続けてこそ意味がある

Profile
野坂 克征(のさか かつゆき)
シーフォーテクノロジー勤務。セキュリティインテグレーション部所属。また、ITセキュリティ委員会として、ISMSの構築〜運用にも携わる。JNSA、JSSM、IPSJ、EiC会員。

関連記事
  開発者が押さえておくべきセキュリティ標準規格動向
  実践!情報セキュリティポリシー運用
  電子メールセキュリティポリシー導入の必要性
  書評 情報セキュリティポリシー策定に役立つ4冊!
  情報セキュリティマネジメントシステム基礎講座
  自主性が要求されるセキュリティ対策の新ガイドライン


Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH