12-2. リスクマネジメント：リスクアセスメント

12-2-1. リスク基準の確立

必要なリスク基準

　リスクアセスメントを実施するにあたって、リスクの重大性を評価するための目安となる条件を決める必要があります。その条件のことをリスク基準と言います。ISMSでは、リスク基準に「リスク受容基準」と「情報セキュリティリスクアセスメントを実施するための基準」を含むよう明示されています。

リスク受容基準

どの程度のリスクであれば受け入れることが可能かの判断基準です。
あるリスクに対して、どの程度のレベル感や優先順位でリスク対応を実施するのか、リスクが顕在化した際にどの程度の大きさまでなら許容するのかを明確にする必要があります。

情報セキュリティリスクアセスメントを実施するための基準

いつ、どのようなときにリスクアセスメントを実施するのかを決める要件です。
リスクアセスメントの実施条件や実施時期、タイミングや頻度などを明確にする必要があります。

12-2-2. リスクの特定

リスク特定

　リスクアセスメントの1つ目のプロセスである「リスク特定」について説明します。リスク特定とは、「リスクを発見、認識及び記述するプロセス」⁷のことです。リスク特定を実施するために一般的に使用されるアプローチは「資産ベースのアプローチ」および「事象ベースのアプローチ」の2つがあります。

7 JISC 日本産業標準調査会.”JIS Q 27000:2019 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－用語”.
https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?show&jisStdNo=Q27000

【情報セキュリティリスクの特定および記述】

【アプローチ手法】資産ベースのアプローチ

概要・資産、脅威及び脆弱性の検査を通じてリスクを特定しアセスメントを行う。
・資産は、その種類及び優先度にしたがって主要資産及び支援資産として特定できる。
・脅威は、資産の脆弱性につけ込み、対応する情報の機密性、完全性または可用性を侵害する。
・資産のリストを作成することが望ましい。
メリット・資産、脅威及び脆弱性のすべての有効な組み合わせをISMSの適用範囲で列挙することができれば、理論上はすべてのリスクが特定される。
デメリット・情報資産が増えたときに、資産のリストの行数が多くなる。
・同様のリスクを繰り返し記載したりしなければならない場合がある。

【アプローチ手法】事象ベースのアプローチ

概要・事象及び結果の評価を通じてリスクを特定し、アセスメントを行う。
・事象及び結果は、トップマネジメントから見た懸念、リスク所有者及び組織の状況を決定する際に特定された要求事項によって発見できる。
メリット・詳細なレベルで資産を特定することに多大な時間を費やすことなく、高いレベルまたは戦略的なシナリオを確立することができる。
デメリット・網羅性において、資産ベースのアプローチに劣る。

（出典）ISO/IEC「ISO/IEC 27005:2022」をもとに作成

リスク所有者の特定

・特定されたリスクに対し、リスク所有者を関連付ける。
・リスク所有者は、トップマネジメント、セキュリティ委員会、プロセス所有者、機能所有者、部門マネージャーおよび資産所有者など、リスクマネジメントに権限を持つ人とする（通常、組織内で一定の権限を持つ人が選ばれる）。

リスク特定（資産ベースのアプローチ）

　資産ベースのアプローチでは、はじめに情報資産を洗い出し（資産目録の作成）、その過程でリスク所有者を特定します。リスク所有者とは、リスクが顕在化した際に責任を取る人のことを指します。その後、情報資産ごとに「機密性」「完全性」「可用性」が損なわれた場合、事業にどれほど影響があるか評価を行い、重要度を判断します。

情報資産の洗い出し（例）

　情報資産の洗い出しでは、業務で利用する電子データや書類などを特定し、資産目録を作成します。洗い出した情報資産は、「営業」「人事」「経理」など管理部門ごとに分類します。企業活動に大きな影響を与えかねない重要な情報を、できる限り漏れないように洗い出すことが重要です。影響がほとんどない情報であれば、漏れても大きな問題はありません。情報資産の洗い出しの粒度は、細かすぎると管理が大変ですが、逆に粗いと次のリスク分析が難しくなります。そのため、適度な粒度にすることが重要です。以下は、情報資産のリストアップ例です。

【No 1】情報分類：人事

情報資産名称従業員名簿
備考従業員基本情報
利用者範囲人事部
リスク所有者人事部長
管理部署人事部
媒体・保存先事務所PC

【No 2】情報分類：人事

情報資産名称健康診断の結果
備考雇入時・定期健康診断
利用者範囲人事部
リスク所有者人事部長
管理部署人事部
媒体・保存先書類

【No 3】情報分類：経理

情報資産名称給与システムデータ
備考税務署提出用源泉徴収票
利用者範囲給与計算担当
リスク所有者経理部長
管理部署人事部
媒体・保存先事務所PC

【No 4】情報分類：経理

情報資産名称当社宛請求書
備考当社宛請求書の原本（過去3年分）
利用者範囲総務部
リスク所有者経理部長
管理部署総務部
媒体・保存先書類

【No 5】情報分類：経理

情報資産名称発行済請求書
控え
備考当社発行の請求書の控え（過去3年分）
利用者範囲総務部
リスク所有者経理部長
管理部署総務部
媒体・保存先書類

【No 6】情報分類：営業

情報資産名称顧客リスト
備考得意先（直近5年間に実績があるもの）
利用者範囲営業部
リスク所有者営業部長
管理部署営業部
媒体・保存先可搬電子媒体

【No 7】情報分類：営業

情報資産名称受注伝票
備考受注伝票（過去10年分）
利用者範囲営業部
リスク所有者営業部長
管理部署営業部
媒体・保存先社内サーバ

【No 8】情報分類：営業

情報資産名称受注契約書
備考受注契約書原本（過去10年分）
利用者範囲営業部
リスク所有者営業部長
管理部署営業部
媒体・保存先書類

資産目録の例
（出典）IPA「リスク分析シート」をもとに作成

　電子化された情報を洗い出す際は、「普段パソコンで見ているこのデータは、どこに保存されているのだろう」というように、社内のIT機器や利用しているクラウドサービスを思い浮かべて記入します。また、複数の組織を持つ企業の場合、管理部署ごとにシートを分けて作成すると、内容の見直しの際に便利です。
資産目録を作成する際、情報資産を情報、情報を支援する資産として「主要/事業資産」と「支援資産」2つのカテゴリに分類して整理する方法も有効です。

｢主要/事業資産｣

｢主要/事業資産｣とは、「組織にとって価値のある情報又はプロセス」⁸のことです。主要資産は、「事業プロセス及び事業活動」と「情報」の2つに分けられます。

「事業プロセス及び事業活動」の例
・その損失又は低下によって、組織の使命達成が不可能となるプロセス
・機密プロセス又は専有技術を伴っているプロセス
・修正された場合、組織の使命の達成に大きく影響するプロセス
・組織が契約、法令又は規則の要求事項を遵守するために必要となるプロセス

「情報」の例
・組織の使命又は事業の遂行に不可欠の情報
・プライバシーに関する国内法に言う意味で、特別に定義することができる個人情報
・戦略的方向性によって決定される目的の達成に必要となる戦略情報
・収集、保管、処理、送信に長時間を要する高コスト情報および高い取得費用を伴う情報

｢支援資産｣

｢支援資産｣とは、「1つ以上の事業資産の基礎となる情報システムの構成要素」⁹のことです。
「支援資産」の例
・ハードウェア、ソフトウェア、ネットワーク、要員、サイト、組織

（出典）MSQA「ISMS推進マニュアル活用ガイドブック 2022年 1.0版」をもとに作成
8 ISO.” ISO/IEC 27005:2022”. https://www.iso.org/standard/80585.html
9 ISO.” ISO/IEC 27005:2022”. https://www.iso.org/standard/80585.html

One Point

情報資産のグループ化 ISMS適用範囲に存在する情報資産を洗い出す作業は、負荷が非常に大きくなりやすいです。そこで、資産価値や保管形態、保管期間や用途などが同じものを1つのグループとしてまとめて管理することにより、作業負荷を軽減したり、作業を効率化したりすることができます。

（例）事務所内のパソコンで会計ソフトウェアや表計算ソフトウェアを使って帳簿を作成している場合

機密性・完全性・可用性が損なわれた場合の影響度を評価

情報資産ごとに「機密性」「完全性」「可用性」が損なわれた場合の事業への影響度を評価します。
具体例として、以下の評価基準を参考に「機密性」「完全性」「可用性」それぞれの評価値（3～1）を決定します。

【評価値】機密性：3

評価基準法律で安全管理（漏えい、滅失又はき損防止）が義務付けられている該当する情報の例個人情報（個人情報保護法で定義）
特定個人情報（マイナンバーを含む個人情報）

評価基準守秘義務の対象や限定提供データとして指定されている
漏えいすると取引先や顧客に大きな影響がある該当する情報の例取引先から秘密として提供された情報
取引先の製品・サービスに関わる非公開情報

評価基準自社の営業秘密として管理すべき（不正競争防止法による保護を受けるため）
漏えいすると自社に深刻な影響がある該当する情報の例自社の独自技術・知識
取引先リスト
特許出願前の発明情報

【評価値】機密性：2

評価基準漏えいすると事業に大きな影響がある該当する情報の例見積書、仕入価格など顧客（取引先）との商取引に関する情報

【評価値】機密性：1

評価基準漏えいしても事業にほとんど影響はない該当する情報の例自社製品カタログ
ホームページ掲載情報

【評価値】完全性：3

評価基準改ざんされると自社に深刻な影響または取引先や顧客に大きな影響がある該当する情報の例取引先から処理を委託された会計情報
取引先の口座情報
顧客から製造を委託された設計図

【評価値】完全性：2

評価基準改ざんされると事業に大きな影響がある該当する情報の例自社の会計情報
受発注・決済・契約情報
ホームページ掲載情報

【評価値】完全性：1

評価基準改ざんされても事業にほとんど影響はない該当する情報の例廃版製品カタログデータ

【評価値】可用性：3

評価基準利用できなくなると自社に深刻な影響または取引先や顧客に大きな影響がある該当する情報の例顧客に提供しているECサイト
顧客に提供しているクラウドサービス

【評価値】可用性：2

評価基準利用できなくなると事業に大きな影響がある該当する情報の例製品の設計図
商品・サービスに関するコンテンツ　（インターネット向け事業の場合）

【評価値】可用性：1

評価基準利用できなくなっても事業にほとんど影響はない該当する情報の例廃版製品カタログ

情報資産の機密性・完全性・可用性に基づく重要度の定義
（出典）IPA「中小企業の情報セキュリティ対策ガイドライン第3.1版」をもとに作成

影響度の評価をもとに重要度を算定

　重要度の算出例を説明します。重要度は「機密性」「完全性」「可用性」いずれかの評価値の最大値で判断します。なお、事故が起きると法的責任を問われたり、取引先、顧客、個人に大きな影響があったり、事業に深刻な影響を及ぼすなど、企業の存続を左右しかねない場合や、個人情報を含む場合は、前項の算定結果に関わらず、重要度は3とします。

重要度：3

情報資産の価値・事故の影響の大きさ事故が起きると、「法的責任を問われる」「取引先、顧客、個人に大きな影響がある」「事業に深刻な影響を及ぼす」など、企業の存続を左右しかねない

重要度：2

情報資産の価値・事故の影響の大きさ事故が企業の事業に重大な影響を及ぼす

重要度：1

情報資産の価値・事故の影響の大きさ事故が発生しても事業にほとんど影響はない

重要度の判断例：自社のホームページ（電子データ）

「機密性」公開しているホームページであり、クレジットカード情報など機密情報の保存はしていない
評価値⇒ 1

「完全性」不正アクセスで価格が改ざんされたり、ウイルスが仕掛けられたりすると顧客や閲覧者に被害が発生し、信用を失う
評価値⇒ 3

「可用性」サーバの障害などでアクセスできなくなると、来店客が減少し、売上も減少する
評価値⇒ 3

➡完全性と可用性の評価値3が最大値なので、重要度は評価値：3

重要度の判断例
（出典）IPA 「中小企業の情報セキュリティ対策ガイドライン第3.1版」をもとに作成

One Point

重要度を判断する際のポイント・重要度の判断は、立場や見識によっても異なることがあるので、情報資産管理台帳に記入する前に「重要ではない」と判断するのではなく、記入した後に組織的に重要度を判断します。
・情報資産の「重要度」は、時間経過とともに変化することがありますが、現時点の評価値を記入します。また時間経過に伴う重要度の変化を台帳上で更新することが難しい場合は、最大値で評価します。

リスク特定（事象ベースのアプローチ）

　事象ベースのアプローチでは、従業者の業務プロセスを起点にリスクを特定します。それにより、詳細なレベルで資産を特定することに多大な時間を費やすことなく、戦略的なシナリオを確立することができます。その結果、組織は自らのリスク対応の取組を、重大なリスクに集中させることができます。
前述の資産ベースのアプローチに比べると網羅性に劣るというデメリットはありますが、その分、日々の業務をもとにして洗い出すため、現実的なリスクを洗い出すことができるというメリットがあります。また、資産ベースのアプローチの際、情報資産の洗い出しにより出てきた主要資産（事業プロセスおよび事業活動）に対しても、事象ベースのアプローチでリスク特定が可能です。

1.リスクの特定

業務プロセスや取扱っている重要な資産に対して、業務上起きたら困ること（リスク）もしくは、過去に発生して業務に影響を及ぼしたことを記載します。
（例）
「ネットワーク障害により、リモートによる会議が中断もしくは実施できなくなり、取引先や顧客に影響を及ぼす恐れ」

2.リスク所有者の特定

1.で特定されたリスクの所有者を記載します。

リスク

ネットワーク障害により、リモートによる会議が中断もしくは実施できなくなり、取引先や顧客に影響を及ぼす恐れ

評価値

機密性【1】
情報が漏えいする類の事象ではない

完全性【3】
ネットワーク障害の原因がサイバー攻撃やマルウェアの場合、情報が被害を受ける可能性がある事象である

可用性【3】
ネットワークが利用できなくなり、自社や取引先、顧客に大きな影響を及ぼす事象である

重要度

リスク所有者

〇〇〇〇

事象ベースのアプローチによるリスク特定の例
（出典）MSQA「ISMS推進マニュアル活用ガイドブック 2022年 1.0版」をもとに作成

　上記内容でリスク特定を実施した後、特定されたリスクおよび「重要度」に対して後述のリスク分析を実施します。

12-2-3. リスクの分析

リスク分析（例）

　特定されたリスクに対して「リスク分析」を行います。リスク分析とは、「リスクの性質を理解し、リスクレベルを決定するプロセス」¹⁰のことです。リスクレベル（リスクの大きさ）は、優先的・重点的に対策が必要な情報資産を把握するために使用されます。リスクレベル（リスクの大きさ）を算定するにはさまざまな方法があります。算定方法の一例を以下に示します。

10 JISC 日本産業標準調査会.”JIS Q 27000:2019 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－用語”.
https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?show&jisStdNo=Q27000