情報セキュリティ対策の区分とリスク分析の方法について

未分類

企業が情報セキュリティ対策を取る際には、自社の持つ情報資産を把握することから始めます。
また、洗い出した情報資産については、それぞれ必要な対策を決定しますが、そのためには企業を脅かすリスクについても知っておく必要があります。
今回は、情報資産における対策の区分と、リスク分析の方法について解説します。

情報資産における情報セキュリティ対策の区分について

企業が実施すべき情報セキュリティ対策は、情報資産の種類やリスク値にあわせて、以下のように区分します。

・リスクの低減
・リスクの保有
・リスクの回避
・リスクの移転

リスクの低減

リスクの低減とは、企業が保有する情報資産に関する脆弱性を改善し、情報セキュリティ事故が発生するリスクを下げることをいいます。
わかりやすい例でいうと、情報セキュリティソフトの導入や、自社で決定した情報セキュリティに関するルールの徹底などが挙げられます。

リスクの保有

リスクの保有とは、企業内で情報セキュリティ事故が発生したとしても受容できる場合に、現状を維持することを指しています。
つまり、リスクとうまく付き合っていくということです。
また、その情報資産における情報セキュリティ対策にかかる費用が損害額を上回る場合なども、対策を講じず、現状を維持することがあります。

リスクの回避

企業における業務フローを変更したり、情報システムの利用方法を工夫したりすることにより、想定されるリスクそのものをなくすのがリスクの回避です。
例えば、これまでは商品の発送先である住所、氏名といった個人情報について、発送完了後もパソコンに保存し続けていた企業が、保存中の漏えいを回避するために、利用後すぐに消去することなどが当てはまります。

リスクの移転

リスクの移転とは、自社よりも優れた対策を実行している、または補償能力が高い他社のサービスを導入することで、自社の負担を軽減させるというものです。
例えば、ECサイトであれば、クレジットカード番号を非保持化し、決済業務について、情報セキュリティ対策を十分に行っている外部の決済代行サービスに委託することなどが該当します。

企業におけるリスク分析の方法について

情報セキュリティ対策は、各情報資産のリスク値によって変わってきますが、それぞれどれくらいリスクがあるのかについては、主に以下の方法で分析します。

・ベースラインアプローチ
・非形式的アプローチ
・詳細リスク分析
・組み合わせアプローチ

ベースラインアプローチ

ベースラインアプローチとは、一般的に公開されている基準やガイドライン、またはチェックリストを使用して、簡易的に各情報資産のリスク分析を行う手法を指しています。
アンケートやチェックリストを利用するため、少ない手間で実施することができる反面、大まかな分析しかできなかったり、質問の品質によって分析結果が左右されてしまったりする可能性があります。
特に、質問の品質には注意する必要があり、ガイドラインのレベルが高すぎる場合にはセキュリティレベルが過剰になり、逆に低すぎる場合にはリスク対策が不十分になるおそれがあります。

非形式的アプローチ

非形式的アプローチとは、企業の上層部や情報セキュリティ担当者の経験、判断を頼りにリスク分析を行い、対策を検討する方法のことをいいます。
改めて技術を習得する必要がないため、こちらもベースラインアプローチと同じく、比較的短時間で実施することができますが、個人の知識や経験に依存するため、漏れや見落としが発生したり、分析に偏りが生じたりすることがあります。

詳細リスク分析

詳細リスク分析とは、各情報資産における資産価値、脅威、脆弱性を識別し、対策を検討する方法をいいます。
名前の通り、詳細なリスク分析であるため、それぞれの情報資産に合った適切な対策を導き出すことができますが、実行には手間と時間がかかります。
ちなみに、詳細リスク分析を実施した結果、対策を適用し、受容可能なレベルまでリスクを低減させる方法は、詳細リスクアセスメントアプローチと呼ばれます。

組み合わせアプローチ

組み合わせアプローチとは、複数のリスク分析の方法を併用し、それぞれの長所と短所を補完する方法をいいます。
よく用いられるのは、ベースラインアプローチと詳細リスク分析の組み合わせであり、このようにすることで、重要度の高い情報資産に対する対策と、その他の情報資産に対する対策のバランスがとりやすくなります。
ただし、重要な情報資産やリスクの高い情報資産の選択が不完全な場合、十分な対策を適用できない可能性があります。

まとめ

ここまで、企業の情報資産に対する情報セキュリティ対策の区分と、主なリスク分析の方法について解説しましたが、いかがでしたでしょうか?
企業の情報セキュリティ対策においては、情報資産の明確化、リスクの把握、各情報資産への適切な対策設定が必要不可欠です。
保有する情報資産が多い企業ほど、これらの作業は慎重に行う必要がありますが、決して手を抜いてはいけません。

タイトルとURLをコピーしました