ー3.リスクアセスメントー
はじめに
情報セキュリティリスクマネジメントのリスクアセスメントプロセス(図中の赤枠部分)について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。
注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)
1)リスクアセスメントとは?
ISMSに関連する用語を定義しているJIS Q 27000:2019には、リスクアセスメントについて次のように記載されています。
JIS Q 27000 : 2019 より
3.64 リスクアセスメント
リスク特定、リスク分析、及びリスク評価のプロセス全体。
リスクアセスメントは、リスクマネジメントにおいて、対象とするリスクの重大性(主に起こりやすさとその結果)を明らかにするプロセスです。その結果は主に以下のような様々な判断の材料として活用されます。
- リスク受容基準との比較により、リスク対応要否を判断する
- 他のリスクのアセスメント結果との比較により、リスク対応の優先順位を判断する
- リスク対応前や過去の結果との比較により、リスクの変化を見極める
リスクアセスメントプロセスは、次のアクティビティにより構成されます。
① リスク特定
リスクを発見し、理解した内容をリスト化する。
② リスク分析
リスク特定でリスト化した個々のリスクに対し重大性を算定する。
③ リスク評価
リスク分析結果をリスク基準と比較し、受容可否(リスク対応の要否)を決定すると共に、個々のリスク分析結果を比較し、それぞれのリスク対応の優先順位を決定する。
上記、各アクティビティにおける具体的な実施内容については、次回以降で紹介したいと思います。
2)具体的な実施例
2-1)リスクアセスメントの実施時期
リスクに影響を及ぼす可能性のある組織内外の状況は時間の経過とともに刻々と変化します。リスクに対する対応を時機を失さず行うためには、その変化と兆候を可能な限り察知し、リスクにどのような影響を与えるのかを特定することが重要です。
上記については、JIS Q 27001:2014(ISO/IEC 27001:2013)でも次のように要求されています。
JIS Q 27001:2014 8.2 情報セキュリティリスクアセスメント より
組織は、あらかじめ定めた間隔で、又は重大な変更が提案されたか若しくは重大な変化が生じた場合に、6.1.2 a) で確立した基準を考慮して、情報セキュリティリスクアセスメントを実施しなければならない。
上記により、リスクの変質に気付かず対応漏れとなることを防げますが、把握した全ての変化に対し、一律に実施すると(多くの組織ではリソースが限られているため)優先順位に応じた効率的な対応ができない恐れがあります。
効率的な運用のためには、トリガーとなる組織内外の変化(事象の性質や大きさ)に応じたリスクアセスメントの実施が必要です。例えば、ISO/IEC DIS 27005:2021やEBIOS RMのようなリスクアセスメントを実施するためのガイドラインでは、戦略サイクルと運用サイクル の二種類の実施サイクルが提示されており、トリガーとなる変化の内容に合わせ使い分けることにより効果的・効率的な運用が可能になります。
2-1-1)「あらかじめ定めた間隔」とは?
職場において、「JIS Q 27001:2014に記載されている ”あらかじめ定めた間隔” とは、どの程度の間隔・頻度が妥当なのか?」という質問をよく受けます。以下、筆者の個人的な見解を述べます。
リスクに影響を及ぼす重大な変更や重大な変化を時機を失さず、モニタリングできていれば「あらかじめ定めた間隔」でのレビューは不要だと考えます。しかしながら、実際には、特定漏れは発生すると考える方が妥当であり、その期間を長く放置しないための補完的な措置として定期的なレビューは必要だと認識しています。
その考え方に従うと、「あらかじめ定めた間隔」は次のような指標を基に組織で決定することになります。また、その間隔自体も組織の状況の変化に応じ柔軟に見直します。
- 変化に気付かない(リスクが放置されている可能性のある)期間をどの程度受容できるか
- 変化の起こりやすさはどの程度か(成熟した組織とスタートアップでは変化のスピードは異なります)
2-1-2)戦略サイクルと運用サイクル
前述のとおり、リスクアセスメントを実施するためのガイドラインでは「戦略サイクル」と「運用サイクル」 の二種類の実施サイクルが紹介されています。筆者はそれぞれの特徴を下表のように解釈しています。
2-2)リスクアセスメントのアプローチ方法
ISO/IEC DIS 27005:2021では、情報セキュリティリスクを特定する際の着眼の手法として、イベントベースアプローチとアセットベースアプローチの2種類が紹介されています。
次項で各アプローチの内容について触れてみたいと思います。
なお、このようにリスク特定するためのアプローチが異なる場合でも、リスクアセスメントの原則である実施結果に対する高い一貫性は求められます。
2-2-1) イベントベースアプローチ
組織の内外の状況から想定されるイベント(事象)をベースにリスクアセスメントを行うアプローチ手法です。
例えば、組織の情報を窃取しようとする外部の攻撃者や過失を犯す可能性のある要員などのリスク源から想定される脅威シナリオを組み立て、その個々のイベントの連なりから想定される運用シナリオからリスクを特定する手法です。運用シナリオ想定時には、脅威インテリジェンスの手法(特にTTPsの観点)、及びそこから得られる情報(例えば、緩和策例など)を活用することで効率的に進めることができます。
おおまかな実施の流れと実施時に参考になる情報を紹介します。
① リスク源と結果
組織及び内外の状況から、リスク源とそのリスクによる結果を仮説する
組織及び内外の状況の洗い出しの方法については、次回ブログで紹介予定です
② 戦略シナリオの特定
上記で仮説した結果に至る過程(例えば脅威アクターが最終目的を達成するために使うであろう戦術の流れ)を特定する
MITRE ATT&CK TTPs
STRIDE (Microsoft))
Cyber Kill Chain (Lockheed Martin)
Attack tree analysis
③ 運用シナリオの特定
各戦術を確立するために使用される技術・手法を特定する
MITRE ATT&CK TTPs
Attack tree analysis
④ 脆弱性の確認
運用シナリオが成立するための条件として悪用される可能性のある脆弱性を特定し、関連する管理策(低減策、検知・対応)の実施状況を確認する
具体例として、二重脅迫型ランサムウェアによる攻撃を想定したイベントベースアプローチのイメージを下図に示します。
次項で考察するアセットベースアプローチと比較すると、結果(事象による影響)が初期段階である程度明らかになるため、詳細なリスクアセスメントの実施要否を早期に判断することが可能になります。
また、イベントベースアプローチによるリスクアセスメントには戦略的な視点が必要とされるため、知識、経験を有する専門家に外部委託することも可能です*1 。リスクアセスメントを組織内でのみ実施し続けると、状況の変化を見落としがちになりますので、例えば、先入観を持たない外部の知見によるアセスメントを数年に一度実施し助言を求めることは、リスク特定の網羅性を高め、リスクアセスメントの不確かさを防ぐためにも有効だと思います。
2-2-2) アセットベースアプローチ
アセット(資産 *2 )とそこに内在する脆弱性を特定し、その脆弱性を悪用する脅威の起こりやすさ、資産の事業上の重要性からリスクを特定する手法です。
イベントベースアプローチと比較すると、 戦術的(運用的)な視点による実施内容となります。
組織内ですでに業務機能一覧や業務フロー、業務手順書などのドキュメント類が整っている場合は、資産の重要度を比較的容易に知ることができ、詳細アセスメントの優先度も初期段階で判断できるため、作業量は少なくなる傾向があります。
◆ 資産特定の粒度について
資産特定の粒度については、ISMSユーザーズガイド ーリスクマネジメント編-(JIPDEC)に参考になる記載がありましたので紹介します。
ISMSユーザーズガイド ーリスクマネジメント編-(JIPDEC)
3.2.2 作業2 リスクを特定する ③資産のグループ化 から引用
例えば、資産価値や属性(保管形態や保管期間、用途等)が一致するものを一つのグループとする等です。重要性や属性が同じで、結果的に適用されるセキュリティ対策が同じであれば、同じグループとしてまとめて管理することが効率的です。
(中略)
そもそも資産の洗い出しをする目的は、ISMSの適用対象全体で適切なセキュリティ対策を決定することです。組織の全ての資産を網羅し、一つひとつの資産の属性を明記した詳細な資産台帳を作成することが必ずしも最終目標ではありません。
日頃から実務としてリスクアセスメントに接している筆者も同意見です。特に、業務プロセスのために必要となるリソース(例えば、要員、XXサーバ、XXシステム、情報)として資産を捉えることができるため、業務プロセス単位でグループ化することが妥当だと考えます。
ここまでの内容を踏まえ、アセットベースアプローチの流れを次に示します。業務プロセスが資産価値や用途を表し、それに関連する”情報および関連する資産”の属性に対する管理策の有効性からリスクを分析します。(下表は説明のために大幅に簡略化しており、実運用では管理すべき項目はもっと多くなるはずです)
① 主要資産
各業務プロセスの資産価値に応じ、その主要資産に求める機密性、完全性、可用性を定める
② 遵守要件
業務プロセスで取り扱われる情報ごとに法令や契約などの遵守すべき要件の有無を明らかにする
③ 支援資産と属性
各情報の保管状況など、支援資産の現状(属性)を明らかにする
④ 関連するベースライン管理策
支援資産と属性情報を条件として、ベースラインから関連する管理策を抽出する
⑤ 管理策の有効性確認
抽出された管理策に対する現状の実施状況と有効性を確認し、脆弱性レベルを分析する
⑥ 脅威の起こりやすさ分析
上記脆弱性を悪用する脅威の起こりやすさを分析する
ベースライン管理策については過去ブログで紹介しています。
業務プロセス単位でグループ化する利点は、その資産価値(例えば、可用性が損なわれ当該業務が滞った場合の影響度)の評価結果の合理性にあります。また、例えば、事業リスク(BCPを検討する際のBIAの実施)、業務リスク(非効率な業務を改善・改革するための現業務の分析)のような他のリスク分析の際にも、同じように事業(業務)への影響の大きさは特定しなければならないため、リスクマネジメント全般における目的別の連携や作業の共通化による効率的な運用が可能になる利点があります。
今回紹介した2つアプローチの良い面を活かすために、次のように役割ごとに手法を使い分け、組織全体として併用することも可能です。
リスク特定のアプローチの手法は、上記2種類に限定されません。自組織の特徴に合わせ独自の手法を採用することも可能です。
まとめ
今回はリスクアセスメントについて具体例を交え考察しました。今回、紹介した以外にも多くの手法がガイドラインなどにより提示されていますので、組織の状況にあったものを選び、テーラリングすることにより、効果的な運用が可能になると思われます。
次回以降、リスクアセスメントの個々のアクティビティであるリスク特定、リスク分析、リスク評価について考えてみたいと思います。
参考資料
本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。
- JIS Q 27001:2014 情報技術−セキュリティ技術− 情報セキュリティマネジメントシステム−要求事項
- JIS Q 27000:2019 情報技術−セキュリティ技術-情報セキュリティ マネジメントシステム-用語
- ISO/IEC DIS 27005:2021 Information security, cybersecurity and privacy protection — Guidance on managing information security risks
- EBIOS RM EBIOS Risk manager
- MITRE ATT&CK TTPs
- STRIDE (Microsoft)
- Cyber Kill Chain (Lockheed Martin)
- JIPDEC ISMSユーザーズガイド ーリスクマネジメント編-(JIPDEC)