|
   |
|
 |
|
 HOME |
  会社概要お問い合わせ |
|
|
情報セキュリティ監査基準について ■事前準備としてのリスクアセスメント リスクアセスメントというと、多くの方は「専門的で難しそう」というイメージを持つことでしょう。実際にリスクアセスメントは多くの手法があり複雑ですが、ここでは「非形式アプローチ」「ベースラインアプローチ」「詳細リスク分析」「組み合わせアプローチ」について説明します。「非形式アプローチ」は形式にこだわらないアプローチ方法なので、過去の事故の経験や知識から判断してアンチウイルスソフトやファイアウォールを導入することも「非形式アプローチ」といえます。小さな組織などで業務に精通している人がいる場合は、この「非形式アプローチ」が一番効率がよいでしょう。ただし、「非形式アプローチ」だけでリスクアセスメントを終了させるのではなく、他の手法を併用するようにしたほうがよいでしょう。 既に組織内にセキュリティポリシーやセキュリティに関する規定などがある場合は、それらが周知されているか、実際に運用されているかチェックするために、「ベースラインアプローチ」によるリスクアセスメントが有効でしょう。 「組み合わせアプローチ」は一般的に「ベースラインアプローチ」を最初に行い、部分的に必要と思われる個所を対象に「詳細リスク分析」を行う方法です。 重要な機密情報や個人情報などを扱っている場合には、「詳細リスク分析」をするとよいでしょう。「詳細リスク分析」は、最初に情報資産の洗い出しを行います。情報資産の洗い出しを行う時は、保管してあるキャビネットやサーバの中にあるファイルを順次調査していくという方法ではなく、業務のフローに沿って作成して、閲覧する情報をチェックしながら洗い出しをしていく方法が有効です。情報資産の洗い出しで重要な情報資産が漏れてしまうと、リスクアセスメントの有効性が損なわれてしまいますので注意が必要です。 情報資産の洗い出しの次に実施するのが、情報資産の価値判断です。この価値判断は、一般的には、機密性・完全性・可用性の見地から価値をつけます。価値をつける際には、部門や個人に任せてしまうと、部門間などで、判断や評価にばらつきが出てしまうので、何らかの「ものさし」が必要になります。 たとえば、可用性の「ものさし」としては次のような「目盛り」が考えられます。 1.常にその情報が見られないと、業務に支障をきたす。 2.1日以上その情報が見られないと、業務に支障をきたす。 3.何日かその情報が見られなくても、問題はない。 情報資産の洗い出しと価値判断が終わった後は、現在の管理策(コントロール)の妥当性を判断していくわけです。 ここまでの過程で、保有している情報資産の種類、そしてその脅威、保管・管理・運用方法が明らかになります。このリスクアセスメント結果を、経営層に説明(コミュニケーション)し、どのような管理策(コントロール)が適切(コスト・利便性などを勘案)であるかを決定していくことになります。当然、この結果がその組織のセキュリティポリシーに盛り込まれ、管理策(コントロール)が実装していくというプロセスになります。 つまり、「ある情報資産が、誰によって、どのような手段で被害を受ける可能性があるので、どのような防止策を実施する。」ということが、論理的に導き出されてきます。情報セキュリティ監査を実施する前に、リスクアセスメントが実施されていると、管理策(コントロール)が遵守されているかということだけでなく、リスクアセスメントの適切性や、リスクアセスメントと管理策(コントロール)の関連性を検証することができるのです。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
| | サイトポリシー | リンクポリシー | プライバシーポリシー | サイトマップ | | Copyright JMC Co.,Ltd. All rights reserved. |
