リスクアセスメントとは？基本的な流れや実施時のポイント・注意点などを解説【後編】

コンサルティング

インシデント対応ガイドラインセキュリティ対策脆弱性

2024年1月25日

前編ではリスクアセスメントの基本について解説しました。本編では、具体的な実施手順について解説していきます。まだ前編を読んでいない、という方はぜひお読みいただけると幸いです。

前編はこちら

Webサイトのセキュリティ対策できてますか？

脆弱性診断なら Proactive Defenseにお任せ。今すぐサービス詳細を見る →

情報セキュリティにおけるリスクアセスメントの流れ・手順

リスクアセスメントを実施する際の、基本的な流れや手順をみていきましょう。正確にリスクアセスメントの流れを把握することで、求める効果を引き出しやすくなります。

手順1.情報資産・情報システムを把握する

まずはじめに社内で保有する情報資産やシステムにはどのようなものがあるか全体像の把握・洗い出しが必要です。まずは保有資産を調べ、リスト化します。

手順2.リスクを特定する

次に情報セキュリティにおいて問題が起こりうる対象を特定します。使用している情報システムや、業務内容・業務の流れを見ながらリスクを探し出し、危険性の把握を進めましょう。

過去に事故があった部分だけでなく、ヒヤリハットや従業員が不安を感じている点などを把握し、課題を洗い出すのがポイントです。表面的な部分だけでなく、顕在化していないリスクを発見するのも情報セキュリティにおけるリスクアセスメントの基本です。必要に応じて現場にヒアリングも実施しながら業務概要とリスクの把握を進めていきましょう。

手順3.セキュリティ対策における優先順位を決定する

続いて考えられるリスクの見積もりを行い、対策の優先順位を決定します。発生確率が高いものや、発生した際の被害が大きいリスクほど、優先順位が高くなるのが基本です。

いきなりすべてのリスクに対応することは難しいため、まずは上位の問題から解決・対策の実施を目指すのが、情報セキュリティにおけるリスクアセスメントを成功させるコツです。対策に必要な費用も洗い出し、予算化していくこともポイントです。

手順4.リスクを低減させる措置を検討・実施する

リスクを低減させる措置を、具体的に提案・検討するのも、情報セキュリティにおけるリスクアセスメントの手順に含まれます。例えば従業員ごとにアクセス権を付与する、社内のパソコンやデバイスを持ち出し禁止にする、サーバーをクラウド化して情報をまとめるなどの方法が考えられます。

リスクの高さとの兼ね合いから、外部に委託して措置を任せたり、保険に入ったりといった方法も一つの手です。優先順位が高いものから導入し、早期にリスクを低減させるのがポイントです。低減措置を導入する際に職場が抱える情報セキュリティに関するリスクを周知させ、従業員のセキュリティ意識を向上させることも施策になり得ます。

手順5.リスクの低減措置の効果測定と見直し

リスクアセスメントの対象外ではあるものの、リスクの低減措置後の効果測定と見直しも重要です。低減措置を実施してからどの程度リスクが低下したのかを確認・記録し、効果があったのか評価します。効果がない場合には、新たな措置の導入や見直しが必要です。

リスクアセスメントは一度実施すれば終わりではありません。定期的に新しい情報セキュリティリスクが発生していないかを確認し、上記手順を繰り返すことが大切です。

リスクアセスメントを進める際の3つのポイント　

リスクアセスメントを進める際には、いくつか守るべきポイントがあります。具体的にどのような点を踏まえて実践すべきなのかを把握して、スムーズな計画進行に努めましょう。以下では、情報セキュリティ分野におけるリスクアセスメントを進めるポイントを解説します。

会社全体で取り組む

リスクアセスメントは、個人や特定の担当者のみで対応するものではありません。職場全体の問題として共有し、すべての従業員にリスクアセスメントの重要性を浸透させることがポイントです。特定の従業員や担当者だけがリスクを把握している状況では、危険性の排除が難しくなります。

また経営者も現場任せではなく、主体的に指揮をとって進めることが大切です。リスクアセスメントの実施後には対策に必要な費用の予算化も必要となってきますので、会社全体で取り組むべき重要施策の一つととらえてぜひ実施してください。

内容はデータ化する

リスクアセスメントは1度だけの施策ではなく、事業を継続していく限り必要なものとなります。そのためリスクアセスメントを実践した際の内容はデータ化し、将来に活かすために整理しておくこともポイントです。蓄積されたデータは適宜まとめて、見やすい形に整え保管しましょう。

複数回のリスクアセスメントを通して、職場におけるリスクの把握と問題解決につながる方法を模索することが、職場の安全性を確保することにつながります。

リスクアセスメントシートを活用する

リスクアセスメントの実施時には、「リスクアセスメントシート」の活用がおすすめです。「リスクアセスメントシート」とは、その名の通りリスクアセスメントを効率化できるシートのことを指します。作業内容・対象システム・関連部署などの項目ごとにリスクの見積もりを記載し、具体的な措置を考案するために活用できます。

また、リスクの見積もり結果・対策の優先度・実際に行った対策の内容と効果などの情報を、記載することも可能です。一目でリスクアセスメントに必要な情報を確認できるため、作業の効率化が図れます。

なお、リスクアセスメントシートに決まった形式はないため、自社の使いやすい形でシートを作成すればOKです。

リスクアセスメントを進める際の注意点

リスクアセスメントを進める際には、事前に把握しておくべき注意点があります。スムーズにリスクアセスメントを実施するためにも、あらゆる注意点を可能性の1つとして考えておくことも必要です。以下では、情報セキュリティにおけるリスクアセスメントの注意点を解説します。

定期的な改善と見直しが必要

リスクアセスメントは定期的な改善と見直しが必要となります。仮に1度リスク低減に成功したとしても、その後に導入したシステムなど環境の変化によって、リスクが再度増加するケースも考えられます。職場の状況は変化し続けるため、リスクの変容に対応するできる環境整備が重要となります。また、発展する技術にも注目し、新たに生まれるリスクやより有効な対策を把握することも重要です。

複数人のチーム体制で実施する

リスクアセスメントは基本的に、複数人でチームを組んで実施します。個人単位でリスクの評価などを行うと、偏見が排除しきれず正確な措置がとれない可能性や見落としが懸念されます。重大な問題の見落としを防ぐためにも、リスクアセスメントは複数人で対応することが基本です。リスクアセスメント対策チームを構築し、適切な対応ができるように備えるプロセスも、企業の情報資産を守ることにつながります。

職場に合ったリスクアセスメントを実施する

他社が導入している方法をそのまま取り入れるのではなく、自社にマッチするリスク低減措置を導入することがポイントです。他社事例は参考になりますが、自社の環境や状況によっては、他社で効果があったものも役に立たない可能性があります。

あくまで自社が抱える問題にフォーカスし、解決につながる可能性が高い措置を実施することが重要です。必要に応じて他社が実施した施策を応用し、自社環境にマッチする形で活用することも考えられます。

正確性や網羅性に留意する必要がある

情報資産の棚卸やリスクの把握には専門的な知識も必要となります。知識不足による見落としや判断ミスが重なると、重大なリスクが放置される可能性も排除しきれません。リスクアセスメントにおいては正確性や網羅性がもとめられます。

そこで情報セキュリティにおけるリスクアセスメントの実施時には、外部サービスへの委託も検討するのがおすすめです。情報セキュリティに関する知見を豊富に持っている外部委託先へ依頼することで、抜け漏れのないアウトプットを期待することができます。

脆弱性診断とリスクアセスメントの違いは

『セキュリティ対策として脆弱性診断は実施しているけれども、リスクアセスメントも必要なの？どういう違いがある？』という疑問をお持ちの方がいらっしゃるかもしれません。一言でいうと対象や手法が異なるのですが、具体的にどのように違うのか、以下に解説します。

脆弱性診断

対象
- 脆弱性診断は、システムやネットワーク内の具体的な脆弱性やセキュリティ上の問題を特定することに焦点を当てます。主に技術的な側面に注力し、システムやアプリケーションの設定、パッチレベル、セキュリティ設定などを評価します。
手法
- 診断員による手動での診断方法ももちろんありますが、リスクアセスメントの違いでいうとスキャンツールや侵入テストなどの自動化されたツールが広く使用されることです。ネットワークやアプリケーションのスキャン、クラウド設定のチェックなどが含まれます。
結果
- 具体的な脆弱性が識別され、修正が必要な具体的な問題やセキュリティ上のリスクが深刻度とあわせて報告されます。