ー５．モニタリング及びレビューー

• はじめに
• １）モニタリング及びレビューとは？
• ２）具体的な実施例
  • ２－１）セキュリティリスクを適切にコントロールするため
    • ① 脅威の検知
    • ② 脆弱性の特定
    • ③ 脅威情報の収集
    • ④ 脆弱性情報の収集
    • ⑤ 法・規制情報の収集
    • ⑥ 組織内外のインシデント
  • ２－２）組織が定めるセキュリティ目的を達成するため
    • ① 状況の設定プロセス
    • ② リスク特定プロセス
    • ③ リスク分析プロセス
    • ④ リスク評価プロセス
    • ⑤ リスク対応プロセス
  • ２－３）リスクを適切に管理しているという信頼を利害関係者に与えるため
    • ① 内部利害関係者
    • ② 外部利害関係者
• まとめ
• 参考資料
• 脚注

はじめに

　情報セキュリティリスクマネジメントのモニタリング及びレビュープロセス（図中の赤枠部分）について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。

　注）なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。（誤りに気付いた方は、コメントいただけると幸いです）

１）モニタリング及びレビューとは？

　先ずはモニタリング（監視）及びレビューで実施すべきこと、考慮すべきことを理解するために、JIS Q 27000：2019 に記載されている用語の定義を確認します。

JIS Q 27000：2019　から引用

3.46 監視（monitoring）
　システム、プロセス又は活動の状況を明確にすること。
　注記 状況を明確にするために、点検、監督又は注意深い観察が必要な場合もある。

3.58 レビュー（review）
　確定された目的を達成するため、対象となる事柄の適切性、妥当性及び有効性を決定するために実行される活動。

　モニタリング及びレビューは、確定された目的を達成するために、システム、プロセス又は活動の状況を明確にし、対象となる事柄の適切性、妥当性及び有効性を決定するプロセスです。
　※）ISMS（ISO/IEC 27001：2013）では、箇条9のパフォーマンス評価に相当するプロセスです。

　次項では、上記の内容をより具体的に考えてみたいと思います。

２）具体的な実施例

　前項で述べた確定された目的とは、組織のセキュリティ方針及びセキュリティ目的により決定されますが、情報セキュリティリスクマネジメント本来の実施目的から考えると次のようなものを上げることができます。

• セキュリティリスクを適切にコントロールするため
• 組織が定めるセキュリティ目的を達成するため
• リスクを適切に管理しているという信頼を利害関係者に与えるため

　上記を更に具体的に考えると、例えば、セキュリティリスクを適切にコントロールするためには、刻々と変化するリスクの発生や変質を時機を失さずに適切に捉えるための継続的なモニタリングとその結果のレビューが求められます。
　また、組織が定めるセキュリティ目的を達成するためには、リスクマネジメントの有効性が確保されていることを確認するためのモニタリングとレビューが欠かせません。
　リスクを適切に管理しているという信頼を利害関係者に与えるためには、リスクモニタリングとレビューにより適切な情報を利害関係者に提供する必要があります。
　ここまでの内容を図にまとめると次のようなイメージになります。

２－１）セキュリティリスクを適切にコントロールするため

　前述のように、リスク及びリスクに影響を及ぼす組織の内外の状況は常に変化し続けています。その変化の理解はリスク特定プロセスで実施されるため、リスクモニタリングとレビューも同プロセスで実施されることが多くなります。
　具体的には、次のような実施内容が含まれます。

① 脅威の検知

　システムやサービスのログ、ネットワークのトラフィックなどを継続的にモニタリングし、不正アクセスや攻撃者の侵入の兆候*1を検知することで、迅速な対応ができます。同様に、不審なメールの送信元や内容をモニタリングし、要員の教育・訓練に反映させることでフィッシングなどの脅威を未然に防ぐことができます。
　また、脅威検知の結果はレビューされることで、アラート条件のチューニングに反映させることができます。

② 脆弱性の特定

　システムやアプリケーションの脆弱性を定期的にスキャンし、既知の脆弱性の有無を確認することで、攻撃を受ける前に脆弱性を修正することができます。また、人的な脆弱性の状況についても内部インシデントの発生状況、不審なメールに対する訓練結果などをモニタリングすることで把握することができます。

③ 脅威情報の収集

　情報共有分析センター（ISAC）や監督官庁、同業者、セキュリティベンダーなどから得られるTTPsの傾向などのセキュリティ情報を継続的に収集し、最新の脅威を理解することで、新たな脅威に対する対策を早期に準備することができます。

④ 脆弱性情報の収集

　公的な公開サイトやソフトウェアベンダーのサイトから定期的に脆弱性情報を収集することで、早期に対応することができます。

⑤ 法・規制情報の収集

　関連法令や規制などの改定状況をモニタリングすることで、コンプライアンス違反の発生を防ぐことができます。

⑥ 組織内外のインシデント

　組織内外のインシデントから得られる情報は、脅威を早期に検知するために有用であると同時に、自組織のリスクアセスメントの検証にも役に立ちます。具体的には、リスクシナリオに基づきアセスメントした結果と実際に起こったインシデントの結果を比較することにより、リスクアセスメントの検証及び改善が可能になります。

　上記以外にもリスクに影響を与える組織及びその内外の状況の理解に関し、継続的なモニタリングによるリスク特定が必要です。

blg8.hatenablog.com

　このリスクモニタリングの実施は、OODAループにより時期を失さずに実施することが多くなると思われます。過去ブログで紹介した運用サイクルでのリスクアセスメントの実施方法が参考になります。

blg8.hatenablog.com

　リスクの運用管理の一部として実施されるため、一般的には、リスク所有者がその責任（アカウンタビリティ）を有します。 　

２－２）組織が定めるセキュリティ目的を達成するため

　セキュリティ目的を達成するためには、リスクマネジメントが有効に機能し、適切な結果が得られることが前提となります。
　リスクマネジメントの各プロセス又は結果におけるモニタリング及びレビューを実施することでその活動の有効性を検証でき、更には次のプロセス又はマネジメントサイクルの改善につなげることができ、結果の精度が向上します。
　セキュリティリスクマネジメントの精度向上を目的とした次のような各プロセスにおけるモニタリングが考えられます。

① 状況の設定プロセス

　セキュリティ目的に影響を与える組織内外の変化（例えば、上位方針、事業内容、保有資産など）をモニタリングすることで、組織が置かれている状況を反映したセキュリティ目的を維持することができます。

② リスク特定プロセス

　前項で述べた通り、セキュリティリスクを適切にコントロールするためには、時機を失さずに組織及びその内外の状況を理解しなければなりません。そのためには組織内外の様々な変化をモニタリングすることが必要です。

③ リスク分析プロセス

　リスク分析時のインプット情報や手法に関する最新の情報をモニタリングすることで、分析結果の精度は向上します。

④ リスク評価プロセス

　実際に起きた結果とリスク評価（リスクアセスメント）により予測された結果を比較検証することで、次回以降のリスクアセスメントの改善に役立てます。

⑤ リスク対応プロセス

　リスク対応において実施した各種管理策の有効性を確認することで、もし、期待通りの効果が得られていない場合には、早期に代替、追加管理策の実施により補うことができます。更に、有効性確認から得られた結果を次回のリスク対応プロセスに適切に反映することでリスクマネジメントの精度を向上することができます。
　また、リスク対応時に、期間限定的にリスク保有することを決めたリスクに関してはモニタリングを継続し、もし、そのリスクに変質が見られるような場合は、早期に代替、追加管理策の実施により補うことが必要です。

　このリスクモニタリングは、PDCAサイクルによる継続的な改善の一部として実施されることが多くなると思われます。過去ブログで紹介した戦略サイクルでのリスクアセスメントの実施方法が参考になります。

blg8.hatenablog.com

　リスクの運用管理の一部として実施されるため、一般的には、リスク所有者がその責任（アカウンタビリティ）を有しますが、ISMSの箇条9のパフォーマンス評価の一部として実施される場合は、マネジメントが就く可能性もあります。
　マネジメントの責任については、過去ブログが参考になります。

blg8.hatenablog.com

２－３）リスクを適切に管理しているという信頼を利害関係者に与えるため

　リスクを適切に管理しているという信頼を利害関係者に与えるためには、適切なリスクモニタリングとレビューから得られた正確な情報による円滑なリスクコミュニケーションが欠かせません。適切にリスクモニタリングされた結果を利害関係者に提供することで次のような効果が得られます。

① 内部利害関係者

・トップマネジメントに対して
　例えば、リスクモニタリングにより得られたリスクの状況や変化を確認し、レビューにより有効性や妥当性を確認することで正確な情報をタイムリーに共有できるため、組織のリスクマネジメントに対する理解を深め、支援や協力を得られやすい環境が構築されます。
・要員に対して
　リスクモニタリングとレビューを実施しその結果を可視化することで、セキュリティリスクに対する意識を高め、組織全体でセキュリティ対策に取り組むことができます。

② 外部利害関係者

　最近では、外部の利害関係者向けのセキュリティレポートの中でリスクアセスメントやリスクレイティングの結果を公表する組織が増えています。これも利害関係者からの信頼を得るために実施されていると理解できます。

まとめ

　今回はリスクモニタリングとレビューについて考察しました。本文でも述べましたが、リスク及びリスクに影響を与える組織内外の状況は常に変化しており、その変化に対応し続けるために、リスクのモニタリングとレビューを継続的に実施します。
　その実施により、「リスクの変化の早期検知と対応」、「リスクマネジメント全体の継続的な改善」、「利害関係者との円滑なリスクコミュニケーション」など複数の効果が得られると考えます。
　リスクモニタリングを形骸化させないためには、利害関係者がリスクは変化しており、以前行ったリスクアセスメントの結果が常に有効であるとは限らないことを認識する必要があります。そのためには、リスクモニタリングの計画を明らかにし、その成果を可視化し共有することが有効と思われます。
　本文では、触れていませんがモニタリングの内容、頻度は状況の設定プロセスで決定しますが、その内容についてもリスクの変化に応じ柔軟に対応することで変化に追従することが可能になります。

参考資料

　本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

• ISO/IEC DIS 27005：2021 Information security, cybersecurity and privacy protection — Guidance on managing information security risks
• JIS Q 27000：2019　情報技術−セキュリティ技術－情報セキュリティ マネジメントシステム－用語
• JIS Q 31000:2019　リスクマネジメント−指針
• JIS Q 27001：2014　情報技術−セキュリティ技術－情報セキュリティマネジメントシステム－要求事項

脚注