ー4.リスク対応ー
- はじめに
- 1)リスク対応とは
- 2)具体的な実施方法
- まとめ
- 参考資料
- 脚注
はじめに
情報セキュリティリスクマネジメントのリスク対応プロセス(図中の赤枠部分)について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。
注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)
1)リスク対応とは
先ずはリスク対応プロセスで実施すべきこと、考慮すべきことを理解するために、JIS Q 27000:2019 に記載されている用語の定義を確認します。
JIS Q 27000:2019 から引用
3.72 リスク対応(risk treatment)
リスクを修正するプロセス。
注記1 リスク対応には、次の事項を含むことがある。
− リスクを生じさせる活動を、開始又は継続しないと決定することによって、リスクを回避すること
− ある機会を追求するために、リスクをとる又は増加させること
− リスク源を除去すること
− 起こりやすさを変えること
− 結果を変えること
− 一つ以上の他者とリスクを共有すること
(契約及びリスクファイナンシングを含む。)
− 情報に基づいた選択によって、リスクを保有すること
注記2 好ましくない結果に対処するリスク対応は、“リスク軽減”、“リスク排除”、“リスク予防”及び“リスク低減”と呼ばれることがある。
注記3 リスク対応が、新たなリスクを生み出したり、又は既存のリスクを修正したりすることがある。
リスク対応プロセスでは、リスクアセスメント(リスク評価)により対応が必要と判断したリスクへの対応を行います。その対応は、原則、対象となるリスクのリスクレベルが受容基準に適合するまで繰り返し行われ、実施内容には次のような内容が含まれます。
- リスク対応の種別の選択と実施又は強化する管理策の選択
- リスク対応計画の策定
- リスク対応による効果の確認
上記、各項目に関する具体例を次項以降で考えたいと思います。
2)具体的な実施方法
2-1)リスク対応方針の決定
ここでは、各リスクへの対応方針を決定します。一般的には次のような選択肢から手法を選びます。
各手法に関し、具体例により補足します。
① リスクを生じさせる活動を開始又は継続しないと決定することによってリスクを回避する
インシデント発生時に大きな損害が予想される情報の取扱いが必要となる事業に参入しない、又は撤退することです。
狭義には、組織内ルールや技術的対策による制限により脅威となる行為を禁止することもリスク回避に分類できると思います。最近では稀なケースだと思いますが、例えば、クラウドサービスやリモートワークを禁止にするなどセキュリティを優先するあまり業務効率が低下する可能性があることにも留意が必要です。
② ある機会を追求するために、リスクを取る又は増加させる
セキュリティに限定して考えると適切な事例を思いつきませんが、事業、業務に好影響を与えるという観点で考えると、上述のような、リモートワークによる要員のワークライフバランスの向上を目的とする環境整備は、セキュリティ上のリスクが増加する傾向があるため、このケースに当てはめることができますし、積極的なクラウドサービスの利用による業務効率化もセキュリティリスクにプラスとマイナスの両面で変化をもたらすことが予測されます。
③ リスク源を除去する
ソフトウェアの脆弱性を悪用した攻撃を想定した場合、更新やセキュリティパッチを適切に行うことでソフトウェアの脆弱性というリスク源を除去することができます。また、故障する可能性の高い老朽化した支援資産を廃棄することも可用性に関連するリスク源の除去と言えます。
④ 起こりやすさを変える
マルウェア検出・修復ツールを導入することで、既知のマルウェアから保護できる可能性が高く、感染の起こりやすさは低くすることができます。
⑤ 結果を変える
外部に漏洩すると組織に大きな影響を与えるデータを事前に暗号化しておくことで、万が一、それが脅威アクターの手に渡ったとしても価値のないものになりますし、バックアップの実施自体は、事象の起こりやすさを低減するものではありませんが、復旧が可能になりますので事象発生後の結果を変えることができます。
⑥ (例えば、契約、保険購入によって)リスクを共有する
サイバーセキュリティ保険へ加入することにより、インシデント発生時の損害を補填できます。ただし、二次損失や金額以外が補填されない可能性があることを考慮しなければなりません。
⑦ 情報に基づいた意思決定によって、リスクを保有する
対象リスクのリスクアセスメント結果がリスク受容基準を大きく超えてはおらず、リスク対応の時点で、適当な費用対効果の管理策が無い場合などはリスクをそのまま保有することがあります。その場合は、保有する期間を明らかにし、リスクの変質を監視するなどの特別な管理対象とすることも検討が必要です。
詳しくは過去ブログで説明しています。
2-2)管理策の採否と優先度の決定
リスク対応方針に従い、必要となる全ての管理策を決定します。
具体的には、既に実施している管理策の強化、又は未実施の管理策を組織内のベースライン管理策、若しくは汎用ベースラインカタログから選択することになりますが、その中に適切な管理策が見つからない場合は、組織独自の管理策を実装することになります。
ベースライン管理策については下記ブログが参考になります。
ベースライン管理策から選択するといっても、数多くの管理策の中から選ぶのは難しいと思います。
そのような時は、根拠のある考え方を時間をかけずに得ることができるという点でベストプラティクスに頼ることも選択肢の一つです。汎用ベースラインカタログの中には、様々な観点でレベル分けし、その個々のレベルに対し実装すべき管理策が提示されているものがあります。今回は、その中から3件紹介します。
- 組織に及ぼす影響度によるレベル分け(NIST SP800-53B)
- 組織の規模によるレベル分け(CIS Controls)
- 管理策の費用と効果によるレベル分け(CISA CPGs)
① 組織に及ぼす影響度によるレベル分け(NIST SP800-53B)
リスクマネジメントの原則から考えると、リスクが顕在化した時のその結果が組織に与える影響の大きさにより管理策の採否及び優先度を決めることは最も合理的と言えると思います。
FIPS PUB 199は、リスクが顕在化した場合にその結果が組織の保有する情報及び情報システムに与える影響の度合いに応じ「低位」、「中位」、「高位」の3段階に分類することを規定した文書です。NIST SP800-53Bではその各分類で実装すべき管理策が提示されています。
概要を表にまとめると次のようなイメージで、中位は低位を、高位は中位をそれぞれ包含する構造になっています。
② 組織の規模によるレベル分け(CIS Controls)
いざ、管理策を実装することを決めても、その運用のための体制(例えば、導入費用、維持費用、運用のための人員など)が組織内で確保できない場合、無駄なものになってしまいます。
CIS Controlsでは、組織の規模により、保護すべき対象や想定される脅威が異なるとの考え方で、全ての組織が適用すべきサイバー防御の基本的な管理策(基本的なサイバーハイジーン)と定義されているIG1からIG2、IG3と3段階に分類され、個々のレベルに応じ実装を推奨する管理策が提示されています。
概要を表にまとめると次のようなイメージで、IG2はIG1を、IG3はIG2をそれぞれ包含する構造になっています。
③ 管理策の費用と効果によるレベル分け(CISA CPGs)
セキュリティに関する個々の管理策の費用対効果の算定は、実施者により差が生じることが多いと思います。それは、効果の部分をどのように解釈するかによって結果が変わるからです。このことがセキュリティツール(ソリューション)を導入する際の妥当性の検討や承認を得る際の説明などを困難にしている原因となっていることも多いと思います。
下表のように費用と効果に言及しているベースラインカタログがありますので一部、紹介します。
上表は、米国サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)により、発行されているベースラインカタログで「サイバーセキュリティー・パフォーマンス・ゴールズ(CPGs)」と呼ばれる8カテゴリー、37の管理策を提示しているガイドラインと、その別紙として発行されている実施状況を確認するためのチェックリストをマッピングしたものです。
それぞれの管理策について、COST(費用)、IMPACT(効果)、COMPLEXITY(複雑さ)が示されています。COST($の数)が少なく、IMPACTが高く(HIGH)、COMPLEXITYが低い(LOW)項目が費用対効果が高い管理策と判断することができます。(黄色で網掛けした14管理策が対象です)
まず、組織内で上記の14管理策の実施状況を確認し、実施しておらず容易に実施可能なものがあれば優先して対応することで費用対効果の高いリスク対応が可能になります。
各リスクに対応するための管理策は複数選択されることが多いため、リスク対応の効果を見積もるためには各管理策間の相互作用や補完性を考慮した管理策全体としてのケイパビリティを把握することが必要になります。
例えば、管理策を多層的に実装することでリスク対応能力は向上します。多層防御については下記ブログが参考になります。
2-3)リスク対応計画の策定
適切にリスク対応が実施されるように次の情報を含むリスク対応計画により進捗を管理します。
① 対応の実施完了日
原則はリスクアセスメント時に決定したスピード感、優先順で対応することになりますが、もし変更する場合には、その理由を明らかにします
② 対応計画の承認者
通常は各リスクのリスク所有者が務めます
③ 実装又は強化する管理策
実装又は強化する管理策を全て書き出します
個々のリスクに対し適切に管理策を実装するため、組織内のベースライン管理策、若しくは汎用ベースラインカタログから選択する場合はその参照元を、独自の管理策を実装する場合はその管理策の定義を詳細に対象リスク毎に決定し記録します
④ 対応後のリスクレベル
全ての管理策が実装された後のリスクレベルを予測します
⑤ 管理策の実施責任者
管理策実装の実施責任を有する者を明らかにします
⑥ 必要となるリソース
設備、人、クラウドサービスなど管理策実装のために必要なリソースを書き出します
⑦ 実施状況
定期的な進捗確認ができるように実施状況を明らかにします
2-4)リスク対応による効果の確認
リスク対応完了後に、再度リスクアセスメントを実施しリスクレベルを確認し、その結果がリスク受容基準を超えている場合は、再度、リスク対応を実施します。
まとめ
今回はリスク対応について考えてみました。
リスクを適切にコントールするためにはリスク対応により意図した結果が得られなければならないため、リスク対応の方向性、選択される管理策はリスクマネジメント全体に大きな影響を与えます。
また、計画時に期待していた効果が実際には得られないこともありますので、その場合は、他の管理策の実施などにより受容できるまでリスク対応を繰り返すことになります。更にリスク対応により得られた結果は、リスクアセスメント結果や計画時に試算した効果と比較することで次回のリスクマネジメントサイクルの改善に活かすことができます。
参考資料
本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。
- ISO/IEC DIS 27005:2021 Information security, cybersecurity and privacy protection — Guidance on managing information security risks
- JIS Q 27000:2019 情報技術−セキュリティ技術-情報セキュリティ マネジメントシステム-用語
- JIS Q 27001:2014 情報技術−セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
- Federal Information Processing Standards Publication 199
- NIST SP800-53B Control Baselines for Information Systems and Organizations
- CIS Controls Ver. 8
- CISA CROSS-SECTOR CYBERSECURITY PERFORMANCE GOALS
