情報セキュリティの対策(管理策)は、国内外においてISO27002(JISQ27002)を始めとするベストプラクティスが普及しております。
そのため、どのような情報セキュリティ対策(管理策)を実施・実装すべきかといった参考事例には事欠かない状況になってきていると言えます。
当然のことながら、情報セキュリティ対策を組織に実施・実装するためには、調達・運用コストおよび導入・運用にかかる労力(作業)が発生します。
また、不適切な情報セキュリティ対策を実施・実装してしまった場合、かえって情報セキュリティのリスクが高まってしまったり、業務の運営に支障をきたしてしまう恐れがあります。
情報セキュリティの対策の検討に際しては、組織の文化、業務プロセス、情報資産の重要度、想定リスクの大きさを十分にアセスメントしなければなりません。
しかしながら、情報セキュリティ上のリスクは広範囲に及び、情報セキュリティの技術革新は目覚ましく、日々新たなリスクが増え続けている状況です。また、リスクをアセスメント(分析・評価)するための手法は、ベストプラクティスと言われるISO13335(MICTS)において“考え方”は紹介されているものの、実務レベルでリスクアセスメントを実施すべき手順までは具体化されておりません。
実際に、ISO270001(ISMS)認証を取得されている組織においてもリスクアセスメント手法は千差万別であり、最適解というものが存在しないのが実情です。
情報セキュリティの国際規格であるISO27001においても、“適切なリスクアセスメントを実施しなさい”と要求しているに留まり、具体的な要件・手順までは記述されていません。
つまり、リスクアセスメントの最適解は、組織の文化、業務プロセス、情報資産の重要度、想定リスクの大きさを踏まえ、組織自らが整備しなければいけないということになります。
他組織で実績を上げているリスクアセスメント手法が、必ずしも自組織でも有効とは限りません。
有効性の高いリスクアセスメント手法を整備し、定期的に実施することにより、組織に内在する情報セキュリティリスクに見合った情報セキュリティ対策を実施・実装することが可能となります。
なお、すでにリスクアセスメント手法を整備され、実施されている組織の場合、下記のような問題点・課題に直面されている場合には、本サービスによる改善支援が有効です。
<リスクアセスメントにありがちな問題点・検討課題>
・リスクアセスメントにかかる作業量が膨大であり、一向に減らない
・リスクアセスメントに基づいたセキュリティ対策を実施しているにもかかわらず、インシデントが頻発している
・実際のリスク(業務プロセス上のリスク、情報資産のリスク)とリスクアセスメントの内容が噛み合っていない
・リスクアセスメントが属人的であり、人によって毎回結果が異なる
・定性的あるいは定量的な仕組みとなっておらず、分析・評価がしづらい
弊社は、情報セキュリティ分野においては、ISO27001を軸とした情報セキュリティマネジメントシステム(ISMS)が国内に導入される以前より、英国政府の情報セキュリティ規格であるBS7799を軸とした多数のコンサルティング実績があります。
情報セキュリティ分野におけるリスクアセスメント手法(分析・評価)の整備においては、様々な業種・業態・規模の組織に対してコンサルティング支援を手掛けてきており、組織の文化、業務プロセス、情報資産の重要度、想定リスクの大きさ等を反映した実効性の高いリスクアセスメント手法の整備をお約束します。
リスクアセスメントの項目の一つである「想定リスク」については、様々な業種・業態の組織に対するコンサルティング経験を踏まえ、豊富なリスクアセスメント項目のデータベース、分析用テンプレートを保有しております。また、社会情勢やIT技術革新にともない増え続けるリスクに対応するため、データベースや分析テンプレートの定期的なバージョンアップを行っております。
ISO27001(JISQ27001)認証取得を目指される組織においても、ISO27001の要求事項に適合したリスクアセスメント手法をご提供します。また、ISO13335(MICTS)などで紹介されているリスクアセスメント手法に準拠するように整備することも可能です。
組織の特殊な情報資産、業務プロセスで想定されるリスク(一般的に想定しづらい自組織固有のリスク)および将来的に発生する新たなリスクについても、柔軟にリスクアセスメント手法に取り込めるよう、将来のメンテナンス性も視野に入れてご支援します。(リスク自体が多様化・増加しているため、リスクアセスメント手法は、一度整備して終わりにはなりません)
リスクアセスメント手法は、理解し、慣れるまでに多少の時間を要するのが通例です。特定の有識者しか実施できなかったり、実施する人が変わる度にリスクアセスメント結果まで毎回変わってしまったのでは友好的な仕組みとは言えません。そのようにならないためにも、弊社では、リスクアセスメントの実施手順(マニュアル)の整備はもちろんのこと、スキル醸成のためのセミナーまでご支援しております。
様々な組織のリスクアセスメント手法の導入支援および見直し・最適化支援の実績がございます。そのため、リスクアセスメントのメリット・デメリット、成功例・失敗例を数多く経験してきております。ゼロベースからリスクアセスメント手法を整備される組織だけでなく、現状のリスクアセスメント手法の最適化をご検討されている組織においても、弊社のコンサルティングサービスは大変有効です。
整備前の協議
リスクアセスメントの対象部門・対象システム、情報資産等のスコープ選定、整備要領の説明、整備スケジュール調整、組織のニーズ(達成目標、課題等)の確認
リスクアセスメント整備計画書の策定
整備要領の具体化、推進体制の整備等
リスクアセスメント手法の整備
リスクアセスメント手法については、組織のニーズを十分踏まえ、実効性の高い手法で整備していきます。(※合わせて、リスクアセスメント実施マニュアルを制定します)
リスクの識別(洗い出し)
スコープにおける業務プロセス、情報資産(サービス、システム含む)を踏まえ、想定されるリスクを網羅的に洗い出します。(※情報資産目録が整備されていない場合には、合わせて整備します)
リスクアセスメントの実施
リスクの分析・評価を実施し、リスクの重み付けを行います。(※リスクアセスメント実施レポートとして取りまとめます)
リスク対応計画の策定
リスクをコントロールするためのセキュリティ管理策の実施計画を策定します。
リスク対応の実施
計画に沿ってセキュリティ管理策を実施(実装)し、リスクを最適化します。
リスクアセスメント手法の見直し・最適化
実施したリスクアセスメント作業を振返り、品質・効率性の観点から改善の余地を見極め、最適化を行います。
情報セキュリティリスク分析の整備には、下記のメリットがあります。
■組織としての情報セキュリティ管理(リスク管理)に関する対外的な説明責任への対応
■情報セキュリティに関する外部監査、認証審査(ISO27001/JISQ27001)等への円滑な対応(リスクアセスメントはISO27001認証取得の必須要件です)
■経営層への情報・判断材料の提供(情報セキュリティリスクの取扱いに関するコミットメント)
■リスクアセスメント作業に係わる属人性の低減(人によってアセスメント結果が毎回変わる等)
■情報セキュリティインシデントの抑止、低減
■情報セキュリティ対策(管理策)の実施要否の判断の迅速化、判断の適切性
■業務プロセス、情報資産の重要度に見合った情報セキュリティ対策の実施・実装(費用対効果の向上)
■大手生保会社における情報セキュリティ文書の整備
■大手システムインテグレーターのISO27001認証取得(ISMS構築)における情報セキュリティ文書整備
■大手通信事業者におけるISO27001認証取得(ISMS構築)における情報セキュリティ文書整備
■大手信託銀行における情報セキュリティポリシー整備
■各省庁、地方自治体における情報セキュリティポリシー、ガイドライン整備
リスクアセスメント手法の整備が完了までの所要期間の目安はどれくらいですか。
キックオフからリスクアセスメント手法の整備(手法の確立)までは約3ヶ月程度です。
整備した手法に基づきリスクアセスメント及びリスク対応を行い、最後に手法の見直し(最適化)を行うまでの全体の所要期間は約6ヶ月程度です。(ゼロベースから手法を確立するケースと、既存の手法を見直すケースでは作業量も変わります)
リスクアセスメント手法は、どのような基準をベストプラクティスとして整備しますか。
情報セキュリティのリスクアセスメント手法を取り上げている国際規格としてはISO13335(MICTS)があります。また、ISO27001認証取得を目指されている組織においては、ISO27001(JISQ27001)のリスクアセスメントに関する要件に準拠させる必要があります。
ただし、具体的なリスク評価項目や実施手順については組織の裁量、ニーズに委ねられますため、 整備前に十分な協議を行い、また、実際の組織の現状をインタビュー調査、視察などを踏まえて、実効性の高い手法を整備してまいります。
リスクアセスメント整備における成果物(ツール)は、どのような物がありますか。
整備計画書、リスクアセスメント実施マニュアル、リスク分析用テンプレート、リスクアセスメントシート、リスク対応計画書、リスクアセスメント報告書、各種意見書(アドバイザリー)がございます。
