プロフィール

prof_normal
prof_normal

ミアミン

ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。

ono

小野 康介

2019年入社。前職でインフラ構築・運用・保守に従事。入社後は、顧客向けのサービスの開発・運用、自社サービスの開発・運用に従事し、現在は顧客向けのセキュリティアセスメント業務を担当している。

セキュリティリスクを評価し、その影響や重要度を明らかに

icon_gimon
ミアミン

小野さんこんにちは!今日のテーマは「リスクアセスメント」だそうですが、リスクはともかく「アセスメント」の意味が……実はよくわかっていないミア。

ono

小野さん

「アセスメント」とは、特定の対象や状況に対して評価や判断を行うプロセスを指します。この手法はいろいろな分野で利用され、目的に応じてさまざまな形態がとられているんですよ。

icon_gimon
ミアミン

なるほど。では、情報セキュリティ分野における「リスクアセスメント」はどういうものミア?

ono

小野さん

組織やプロジェクト、情報システムにおいて発生する可能性のあるセキュリティリスクを評価し、その影響や重要度を明らかにするためのプロセスですね。発見されたリスクに対して、影響や重要度に応じて改善を図ることで、限りあるリソースを有効活用し、対策できると見込まれています。
ちなみに、ISO27001(以下、ISMS)は知っていますか?

icon_yorokobi
ミアミン

「情報セキュリティマネジメントシステム」ですよね。「物理セキュリティ」の回で、「包括的なセキュリティ規格」だと教わったミア!

ono

小野さん

そうそう、ISMSはいくつかの要素で構成されたマネジメントシステムで、その中にはリスクアセスメントも含まれています。そのため、ISMSの認証を取得されている企業であれば、必然的にリスクアセスメントも実施されているということになるんですよ。

icon_aseri
ミアミン

キャッ!教わったことが、こんなふうに関連しているとは驚きミア……!

リスクアセスメントのプロセス

icon_gimon
ミアミン

さて、リスクアセスメントはどんな手順で進めていくミア?

ono

小野さん

リスクアセスメントのプロセスは複数のステップから構成されます。具体的に見ていきましょう。

 

  1. 準備
    • リスクアセスメントの目的の特定
    • リスクアセスメントの適用範囲の特定
    • リスクアセスメントがどのような想定と制限のもとで実施されるかを特定
    • リスクアセスメントにおいて使用される脅威関連情報、脆弱性情報、および影響に関する情報の情報源を特定
    • リスクアセスメントにおいて使用するリスクモデル、アセスメントアプローチ、および分析的アプローチの特定
  2. リスクアセスメントの実施
    • 脅威源の特定
    • 脅威事象の特定
    • 脆弱性と素因的条件の特定
    • 可能性の特定
    • 影響の特定
    • リスクの判断
  3. 結果の共有
    • 関係者への共有
    • 優先順位付け、リソース配分
  4. モニタリングと改善
    • 組織のセキュリティ状況の監視
    • 対策の有効性チェック
    • 継続的な教育・トレーニング
icon_normal
ミアミン

準備して、実施して、結果を分析して、改善していく……前回教わった「脆弱性診断」と似ているミア。

ono

小野さん

いいところに気付きましたね。リスクアセスメントでは、対象となる組織やシステムによっては「準備」プロセスがあまり行われず、「リスクアセスメントの実施」における脆弱性検査(Webアプリケーションやプラットフォームなど)のみを実施されているケースも見受けられるんです。

icon_aseri
ミアミン

キャッ!脆弱性診断では「準備」はとても大事だと教わりました。それをおろそかにするなんて、とっても心配ミア!

ono

小野さん

そうなんです。この場合、特定の対象(主にシステム)に対してのみリスクを特定することとなりますので、組織全体として見ると未発見のリスクが残存している可能性があるんです。

最善の進め方を探り、定期的にリスクアセスメントを

ono

小野さん

リスクアセスメントは、組織にとっての健康診断のようなもの。企業に勤める方が、年1回の健康診断を行うように、定期的に実施することが望ましいと考えられています。

icon_normal
ミアミン

病気のリスクを減らすためなら、僕も健康診断どころか、“ミーアキャットドック”で徹底的に検査してもいいくらいミア!

ono

小野さん

そう、それくらい大事なことだと思います。でも、実際にはすべての内容を毎年実施するほど予算や時間が確保できないことも多いですよね。だから、各企業における最善の進め方をまずは検討してもらって、なるべく効率的にリスクを減らしていけるようにしましょう。

icon_gimon
ミアミン

最善の進め方を見つけていくためのポイントはあるミア?

ono

小野さん

信頼できるセキュリティのプロに相談して、意見を聞くことですね。ユービーセキュアでは無料で現役のセキュリティコンサルタントに相談ができる相談会を開催していますから、リスクアセスメントでお困りの際はぜひ検討してみてください。

icon_yorokobi
ミアミン

リスクアセスメントも「かかりつけ」の先生を見つけることが重要ミア!今日はいろいろ教えてくれてありがとミア!