ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
2019年入社。前職でインフラ構築・運用・保守に従事。入社後は、顧客向けのサービスの開発・運用、自社サービスの開発・運用に従事し、現在は顧客向けのセキュリティアセスメント業務を担当している。
小野さんこんにちは!今日のテーマは「リスクアセスメント」だそうですが、リスクはともかく「アセスメント」の意味が……実はよくわかっていないミア。
小野さん
「アセスメント」とは、特定の対象や状況に対して評価や判断を行うプロセスを指します。この手法はいろいろな分野で利用され、目的に応じてさまざまな形態がとられているんですよ。
なるほど。では、情報セキュリティ分野における「リスクアセスメント」はどういうものミア?
小野さん
組織やプロジェクト、情報システムにおいて発生する可能性のあるセキュリティリスクを評価し、その影響や重要度を明らかにするためのプロセスですね。発見されたリスクに対して、影響や重要度に応じて改善を図ることで、限りあるリソースを有効活用し、対策できると見込まれています。
ちなみに、ISO27001(以下、ISMS)は知っていますか?
「情報セキュリティマネジメントシステム」ですよね。「物理セキュリティ」の回で、「包括的なセキュリティ規格」だと教わったミア!
小野さん
そうそう、ISMSはいくつかの要素で構成されたマネジメントシステムで、その中にはリスクアセスメントも含まれています。そのため、ISMSの認証を取得されている企業であれば、必然的にリスクアセスメントも実施されているということになるんですよ。
キャッ!教わったことが、こんなふうに関連しているとは驚きミア……!
さて、リスクアセスメントはどんな手順で進めていくミア?
小野さん
リスクアセスメントのプロセスは複数のステップから構成されます。具体的に見ていきましょう。
準備して、実施して、結果を分析して、改善していく……前回教わった「脆弱性診断」と似ているミア。
小野さん
いいところに気付きましたね。リスクアセスメントでは、対象となる組織やシステムによっては「準備」プロセスがあまり行われず、「リスクアセスメントの実施」における脆弱性検査(Webアプリケーションやプラットフォームなど)のみを実施されているケースも見受けられるんです。
キャッ!脆弱性診断では「準備」はとても大事だと教わりました。それをおろそかにするなんて、とっても心配ミア!
小野さん
そうなんです。この場合、特定の対象(主にシステム)に対してのみリスクを特定することとなりますので、組織全体として見ると未発見のリスクが残存している可能性があるんです。
小野さん
リスクアセスメントは、組織にとっての健康診断のようなもの。企業に勤める方が、年1回の健康診断を行うように、定期的に実施することが望ましいと考えられています。
病気のリスクを減らすためなら、僕も健康診断どころか、“ミーアキャットドック”で徹底的に検査してもいいくらいミア!
小野さん
そう、それくらい大事なことだと思います。でも、実際にはすべての内容を毎年実施するほど予算や時間が確保できないことも多いですよね。だから、各企業における最善の進め方をまずは検討してもらって、なるべく効率的にリスクを減らしていけるようにしましょう。
最善の進め方を見つけていくためのポイントはあるミア?
小野さん
信頼できるセキュリティのプロに相談して、意見を聞くことですね。ユービーセキュアでは無料で現役のセキュリティコンサルタントに相談ができる相談会を開催していますから、リスクアセスメントでお困りの際はぜひ検討してみてください。
リスクアセスメントも「かかりつけ」の先生を見つけることが重要ミア!今日はいろいろ教えてくれてありがとミア!