セキュリティ管理のメモ帳

セキュリティに関する備忘録

情報セキュリティリスクマネジメントについて(1)

リスクマネジメント

ー1.リスクの定義ー

はじめに

 以前から各ブログで述べているようにセキュリティマネジメントはリスクマネジメントに基づき実施することで合理的な運用が可能になります(不要な管理策や無駄な管理策の重複を避ける効果が期待できます)。
 そのためセキュリティ関連のガイドラインを発行している主な組織からもリスクベースでセキュリティマネジメントを実施するためのフレームワークが提供されています。(例えば、ISO/IEC 27005、NIST SP800-37、CIS RAMなど)
 これまで、セキュリティ管理策について何件か投稿していますが、リスクマネジメントに触れないことにはその説明ができない状況も増えてきましたので、ここで、セキュリティリスクマネジメントについて簡単にまとめておきたいと思います。
 注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、誤りがある可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)

1)リスクとは

1ー1)リスクに関する一般的なイメージ

 最初にリスクという言葉が一般的にどのような使われ方をしているのか確認しておきたいと思います。
 例えば、2022年8月16日付の日本経済新聞の紙面には、リスクという言葉が多く使用されており、その意味合いは「好ましくない影響や結果(一般的に純粋リスクと呼ばれます)」と「不確実性(一般的に投機的リスク(又はビジネスリスク)と呼ばれます)」の二つに分けることができます。

2022年8月16日の日本経済新聞(デジタル版)より抜粋

好ましくない影響や結果として使用されている例 )
・米中の対話ルートは細り、偶発的な衝突リスクは増しつつある。
・アクティビストの動きが世界的に活発になってきた。(中略)行き過ぎた要求が経営に混乱をもたらすリスクもある。
・感染すると肺炎を起こすリスクの高い高齢者や5歳未満の子ども、心臓や肺に持病のある人などへのワクチン接種が特に必要。

不確実性として使用されている例 )
・中国の景気減速懸念が強まったのも、リスク回避時に買われやすい米国債の上昇につながった。
・15日の米国株式市場で主要3指数がそろって上昇し、投資家が運用リスクをとる姿勢を強めている。
・外為市場ではリスク回避ムードが強まり、円に買いが入った。

 他の場面でも、ほぼ同じような意味合いで使われていると思います。

1ー2)情報セキュリティリスクとは?

 今回取り上げるテーマは「情報セキュリティリスクマネジメント」ですので、関連するガイドラインを発行しているISO規格を参考にリスクの定義を理解します。
 リスクマネジメントのガイドライン規格である JIS Q 31000:2019 (ISO 31000:2018) では、リスクは以下のように「目的に対する不確かさの影響」として定義されています。

JIS Q 31000:2019 (ISO 31000:2018) より

3.1 リスク(risk)
目的に対する不確かさの影響。

注記1 影響とは、期待されていることからかい(乖)離することをいう。影響には、好ましいもの、好ましくないもの、又はその両方の場合があり得る。影響は、機会又は脅威を示したり、創り出したり、もたらしたりすることがあり得る。
注記2 目的は、様々な側面及び分野をもつことがある。また、様々なレベルで適用されることがある。
注記3 一般に、リスクは、「リスク源」、「起こり得る事象」及びそれらの「結果」、並びに「起こりやすさ」として表される。

 前項で触れた一般的な使われ方(不確実性とその結果、影響)と同じ意味で定義されていると解釈できます。

 もう少し掘り下げてみます。情報セキュリティリスクマネジメントのガイドライン規格であるISO/IEC DIS 27005:2021では、リスクの用語定義の注記に以下の文面が追加されています。

ISO/IEC DIS 27005:2021 より

3.1.1 risk
3.1.1 リスク
(中略)

Note 3 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likelihood.
注記3:不確かさとは、ある事象、その結果、又は起こりやすさに関連する情報、理解または知識が部分的にでも欠落している状態をいう。

Note 5 to entry: In the context of information security management systems, information security risks can be expressed as effect of uncertainty on information security objectives.
注記5:情報セキュリティマネジメントシステムの環境下では、情報セキュリティリスクは、情報セキュリティ目的に対する不確かさの影響として表現することができる。

Note 6 to entry: Information security risks are always associated with a negative effect of uncertainty on information security objectives.
注記6:情報セキュリティリスクは、情報セキュリティ目的に対する不確かさの負の影響が常につきまとう。

Note 7 to entry: Information security risk can be associated with the potential that threats (3.1.5) will exploit vulnerabilities (3.1.6) of an information asset or group of information assets and thereby cause harm to an organization.
注記7:情報セキュリティリスクは、脅威が情報資産又は情報資産群の脆弱性を悪用し、それによって組織に損害を与える可能性と関連付けることができる。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

 ここまでで理解した内容を表現すると下図のようなイメージになると思われます。

図1 リスクのイメージ

 組織は、目的を達成するために行っている活動を不確かにする内外の要素(リスク源)やその影響に直面しています。情報セキュリティマネジメントは情報セキュリティ目的を達成するために実施されますが、同じように内外の様々な要素や影響により結果が不確かなものになる可能性を孕んでいます。
 目的に影響を与える可能性のある内外の状況を理解し、その不確かさを特定し(リスク特定)、その起こりやすさや結果を分析し(リスク分析)、対応を判断し(リスク評価)、判断した内容に基づき対応する(リスク対応)ことにより、不確かさが目的に及ぼす影響をマネジメントすることが可能になります。それを情報セキュリティリスクマネジメントと呼びます。 *1

 なお、リスク全般の定義では、上図のようにリスクはプラスにもマイナスにも影響します(前述の投機的リスク(ビジネスリスク)の考え方) が、情報セキュリティリスクマネジメントでは、通常、負の影響(前述の純粋リスクの考え方)をコントロールすることに主眼が置かれます。

1ー3)情報セキュリティの目的とは?

 前述の通り、リスクは「目的に対する不確かさの影響」と定義されているため、情報セキュリティリスクについて考える場合、情報セキュリティの実施目的を明らかにする必要があります。ここでは、情報セキュリティマネジメントシステムの実施目的と情報セキュリティの実施目的について考えてみます。

 まずは、情報セキュリティマネジメントシステムISMS)の実施目的について考えます。
 JIS Q 27001:2014(ISO/IEC27001:2013)には以下の一文が記載されており、これがISMSを組織が適用する目的であると考えられます。

JIS Q 27001:2014 0.1概要より

ISMSは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える。

ISMSの実施目的

 ISMSを組織が適用する目的は、以下の2点であると解釈できます。

  • リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性を維持するため
  • リスクを適切に管理しているという信頼を利害関係者に与えるため

 次に情報セキュリティの実施目的について考えます。JIS Q 27001:2014に情報セキュリティ目的に関する以下の記載があります。

JIS Q 27001:2014
6.2 情報セキュリティ目的及びそれを達成するための計画策定 より

組織は、関連する部門及び階層において、情報セキュリティ目的を確立しなければならない。
情報セキュリティ目的は、次の事項を満たさなければならない。
a) 情報セキュリティ方針と整合している。
b) (実行可能な場合)測定可能である。
c) 適用される情報セキュリティ要求事項、並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d) 伝達する。
e) 必要に応じて、更新する。

 情報セキュリティ目的とは、「情報セキュリティ方針を達成するために、組織のリスクマネジメントの実情(リスクアセスメント及びリスク対応の結果)を考慮し設定される可能な限り測定可能な目標」と解釈できます。
※)情報セキュリティ方針は、事業、法律、法令、規制、契約上の要求事項を考慮し策定されます。詳しくは、過去ブログ「情報セキュリティのための方針」についてを参照下さい。

blg8.hatenablog.com

 リスクマネジメントの実情は組織により異なるため、誤解を生じさせないため具体例を提示することは控えますが、通常、セキュリティ目的は次のように組織内外の状況を考慮し、各組織、あるいは組織内の各部門又は階層毎に設定されます。

② 情報セキュリティ目的

以下を含む内外の状況を考慮し、組織毎に設定します。

  • (事業、法律、法令、規制、契約上の要求事項が考慮された)情報セキュリティ方針
  • 組織のリスクマネジメントの実情

 実際の運用では、情報セキュリティリスクマネジメントについて(4)で言及する3.1 リスク特定において、上記を含む情報セキュリティ目的に影響を及ぼす可能性のある組織内外の課題を抽出する事になります。

blg8.hatenablog.com

1ー4)情報セキュリティリスクマネジメントとは?

 情報セキュリティリスクマネジメントとは、そのリスクを最適化すること(適切にコントロールすること)です。それを実現するために、次のことを考慮したプロセスを確立する必要があります。

  • 組織の状況に沿った情報セキュリティリスクマネジメント方針を策定し、標準、手順等を明らかにする(状況の設定
  • 現状のリスクを理解し、受容可能な範囲なのか判断する(リスクアセスメント
  • 受容できない場合は、そのリスクへの対応(リスク対応)方法を考え、実行し、その結果、残ったリスクについても再度、受容可否を判断する
  • 受容すると判断したリスクでも時間の経過と共に起こりやすさや組織への影響の度合いが変わる可能性があるため、その変化を見逃さないためにモニタリングする
  • リスクを変化させる要因となる情報を入手するために内外の利害関係者とのコミュニケーションを確立する

 上記プロセスを効率よく管理するためのフレームワークが各種ガイドラインから提示されています。今回はISO/IEC DIS 27005:2021で紹介されている情報セキュリティリスクマネジメントサイクルを紹介します。

図2 情報セキュリティリスクマネジメントサイクル

 上図のようにリスクマネジメントサイクルは反復的に実施されることが一般的です。図中のリスク判定点1、リスク判定点2では、それぞれ以下の考え方により反復の要否が判断されます。

  • リスク判定点1
     担当者のスキルや用いた情報の量など、実施されたリスクアセスメントが妥当な内容だったか?

  • リスク判定点2
     実施したリスク対応により、残留リスクが受容できるほどのレベルまで下がっているか?

 反復的に実施することのメリットは、反復の繰り返しにより、アセスメントの深さと詳細さを徐々に増すことが可能であることがあげられます。具体的には、組織で定めた基準(リスク判定点1、リスク判定点2)に達するまで反復することで過度なアセスメントや管理策の実施を防ぎ、高リスクに優先的に対応することができ、過不足のない効率的な運用が可能となります。
 次回以降、リスクマネジメントサイクルの個々のプロセスについて具体例を交え考えたいと思います。

まとめ

 リスクマネジメントを実施するためには、時間とコストがかかります。特にリスクアセスメントを実施する際は、多くの情報を収集しなければならないため、どうしても判断を先送りにしがちですが、放置したリスクが顕在化した場合、最終的には想定外のコストと時間を浪費する可能性があります。具体的には、次に示す二つのケースは、どちらも最終的にはリスクに対し何も対応しないとの結論ですが、両者には決定的な違いがあります。

  • リスクを放置する(リスクを特定せず、結果としてリスク対応しない)

 いつどのような問題が発生するのかわからず、リスクが顕在化した場合、被害を最小限に抑えるための対応を急遽立案しなければならなくなり、被害を拡大させる可能性や時間的・経済的に多くの損失を被る可能性があります

  • リスクを保有する(リスクを評価した結果、明確な意思の下、リスク対応しないと判断する)

 事前のリスク対応はしませんが、リスクが顕在化した場合でも想定した被害の範囲内で処理できる可能性が高く、想定したインシデントに対する対応策も事前に検討できているため、短期間で対処に取り掛かることが可能になります

 セキュリティマネジメントにおいても、管理策を最適に実装するため、リスクマネジメントに基づいて実施されることが一般的であるため、次回以降で紹介するリスクマネジメントサイクルの個々のプロセスの進め方は、多くの組織にとって有効な内容になると思います。  

参考資料

  • 日本経済新聞(デジタル版)
  • JIS Q 31000:2019 リスクマネジメント−指針
  • ISO/IEC DIS 27005 : 2021 Information security, cybersecurity and privacy protection — Guidance on managing information security risks
  • JIS Q 27001 : 2014 情報技術−セキュリティ技術− 情報セキュリティマネジメントシステム−要求事項

脚注

*1:不確かさには偶然に左右されるような本質的に変動する要素も含まれるため、全ての不確かさやその影響を理解することはできません(リスクを全てなくすことはできません)。リスクマネジメントとは、リスクを可能な限り特定・分析し、予防策を講じたり、事象を早期に検知し適時に対応したりすることで、その影響を組織が受容すると決めた範囲で管理することと言えます。