この記事でわかること
- ISMSリスクアセスメントの目的と全体フロー
- 情報資産の洗い出しと台帳の作り方
- 脅威・脆弱性の特定方法
- リスク値の算出と評価基準
- リスク対応計画の4つの選択肢
- 審査で指摘されやすいポイント
リスクアセスメントはISMSの心臓部
ISMS(情報セキュリティマネジメントシステム)において、リスクアセスメントは最も重要なプロセスです。ISO 27001の審査でも最も重点的にチェックされる領域であり、ここが不十分だと認証取得は困難です。
リスクアセスメントの目的はシンプルです。「自社の情報資産にどんなリスクがあるかを特定し、優先順位をつけて対策する」こと。闇雲にセキュリティ対策を入れるのではなく、リスクに基づいて合理的に対策を決める——これがISMSの基本的な考え方です。
リスクアセスメントの全体フロー
- 情報資産の洗い出し — 守るべき情報資産を一覧化
- 脅威の特定 — 各資産に対する脅威(攻撃、災害、ミス等)を列挙
- 脆弱性の特定 — 各脅威に対する弱点を特定
- リスク値の算出 — 影響度×発生可能性でリスクを数値化
- リスク評価 — 許容可能かどうかを判定
- リスク対応計画の策定 — 対策を決定し、実行計画を作成
ステップ1:情報資産の洗い出し
まず、自社が持つ情報資産を漏れなく洗い出します。
情報資産の分類
| 分類 | 例 |
|---|---|
| 電子データ | 顧客データベース、設計図、ソースコード、財務データ |
| 紙媒体 | 契約書、見積書、人事評価シート |
| ソフトウェア | 基幹システム、SaaS、自社開発アプリケーション |
| ハードウェア | サーバー、PC、ネットワーク機器、USBメモリ |
| サービス | クラウドサービス、外部委託先のシステム |
| 人 | 従業員が持つ知識・ノウハウ |
資産台帳に記載する項目
- 資産名・資産ID
- 分類(電子データ/紙/SW/HW等)
- 管理責任者
- 保管場所(物理/論理)
- 機密性・完全性・可用性の評価(各3段階)
- 資産価値(3段階評価の合計)
ステップ2〜3:脅威と脆弱性の特定
脅威の分類
| 脅威の種類 | 例 |
|---|---|
| 意図的脅威 | 不正アクセス、マルウェア、内部犯行、ソーシャルエンジニアリング |
| 偶発的脅威 | 操作ミス、設定ミス、メール誤送信 |
| 環境的脅威 | 地震、火災、水害、停電 |
脆弱性の例
- パスワードが短い・使い回し
- ソフトウェアのアップデートが未適用
- バックアップが未実施
- 退職者のアカウントが残存
- セキュリティ教育が未実施
- 入退室管理がない
ステップ4:リスク値の算出
リスク値の算出方法はいくつかありますが、中小企業に最も適した方法を紹介します。
算出式
リスク値 = 資産価値 × 脅威レベル × 脆弱性レベル
各要素の評価基準
| 評価 | 資産価値 | 脅威レベル | 脆弱性レベル |
|---|---|---|---|
| 3(高) | 漏洩で事業継続に重大な影響 | 過去に発生、または高頻度で発生 | 対策未実施 |
| 2(中) | 漏洩で業務に支障 | 発生の可能性あり | 対策不十分 |
| 1(低) | 漏洩の影響は限定的 | ほぼ発生しない | 対策実施済み |
リスク値の最大は 3×3×3=27、最小は 1×1×1=1 です。
ステップ5:リスク評価
算出したリスク値を基に、対応の優先順位を決めます。
| リスク値 | レベル | 対応方針 |
|---|---|---|
| 18〜27 | 高リスク | 即時対応が必要。リスク対応計画を策定 |
| 8〜17 | 中リスク | 計画的に対応。年度内に対策実施 |
| 1〜7 | 低リスク | 許容可能。現状維持またはモニタリング |
ステップ6:リスク対応計画
リスクへの対応は4つの選択肢があります。
- リスク低減 — セキュリティ対策を実施してリスクを下げる(最も一般的)
- リスク回避 — リスクの原因となる活動をやめる(例:USBメモリの使用禁止)
- リスク移転 — 保険やアウトソーシングでリスクを第三者に移す
- リスク受容 — リスクが許容範囲内であると判断し、現状を受け入れる
リスクアセスメントの実施頻度と見直しのタイミング
ISO 27001ではリスクアセスメントを「定期的に、または重大な変化が生じたとき」に実施することを求めています。多くの組織では年1回の定期実施に加え、以下のタイミングで随時見直しを行います。
- 新システム・サービスの導入時 — 新たな情報資産が増えるため再評価が必要
- インシデント発生後 — セキュリティ事故は脅威・脆弱性の再評価のトリガーになる
- 組織変更・事業拡大時 — 管理責任者の変更や新拠点開設など
- 法規制の改正時 — 個人情報保護法改正など法的要件の変化に対応
- ISMS内部監査の結果として — 監査で指摘された事項を反映
リスクアセスメントの結果は必ずバージョン管理し、前回との差分を比較できる状態で保管してください。審査員は「前回からどう変化したか」を確認する場合があります。
審査対応のポイント
ISMS審査でリスクアセスメントに関して最も多い指摘は「リスク対応計画と管理策の紐付けが不明確」です。リスクを特定して対策を決めたら、ISO 27001の附属書Aの管理策(93項目)のどれに該当するかを明記しましょう。また「リスク受容」を選ぶ場合は、なぜ受容が妥当かの根拠を文書化してください。根拠なく受容すると審査で不適合になります。
まとめ
- リスクアセスメントはISMSの心臓部。審査でも最重点チェック領域
- 情報資産の洗い出しが出発点。漏れなく台帳にまとめる
- リスク値=資産価値×脅威×脆弱性で定量的に評価
- リスク対応は4択(低減・回避・移転・受容)。受容には根拠が必要
- 附属書Aの管理策との紐付けを明確にする
- 年1回以上見直す。環境変化やインシデントを踏まえて更新
ISMSのリスクアセスメントやISO27001取得のご相談は、お問い合わせからお気軽にどうぞ。FUNBREWでは、認証取得の支援から運用定着までサポートしています。
よくある質問
ISMSのリスクアセスメントとリスク対応の違いは何ですか?
リスクアセスメントは「どんなリスクが存在するか」を識別・分析・評価するプロセスです。リスク対応は評価されたリスクに対して「どう対処するか」を決める次のステップです。ISO 27001では、リスクアセスメント→リスク対応計画(SOA)→管理策の実装→モニタリングというサイクルで継続的に管理することが求められます。
情報資産の洗い出しはどうやって進めればよいですか?
まず業務フローを整理し、各業務で扱う情報(顧客情報・契約書・設計書・システム・ハードウェアなど)をリストアップします。次に情報の形式(電子・紙)、保管場所、アクセス権限者、機密レベルを記録します。経営者・各部門責任者・IT担当者が合同でレビューすることで漏れを防げます。
リスク値の算出方法を教えてください
一般的な方法は「発生可能性(1〜5段階)× 影響度(1〜5段階)= リスク値(1〜25)」または「資産価値 × 脅威レベル × 脆弱性レベル(各1〜3段階)= リスク値(1〜27)」で算出します。リスク値が高い順に対応優先度を決めます。ISOが特定の算出方式を義務付けているわけではないため、組織の実態に合った基準を設定し、その基準を一貫して適用することが重要です。
リスク対応の4つの選択肢(回避・移転・低減・受容)はどう使い分けますか?
①低減:管理策を実装してリスクを下げる(例:多要素認証の導入)—最も一般的な対応。②回避:リスクの原因となる活動をやめる(例:USBメモリの使用禁止)。③移転:保険やアウトソーシングでリスクを外部に移す(例:サイバー保険加入)。④受容:コストと影響を考慮しリスクをそのまま許容する。受容の場合は「なぜ許容できるか」の根拠を文書化することが審査要件です。
ISMSの審査でリスクアセスメントについてよく指摘されるポイントは?
①情報資産の網羅性不足(ITシステム以外の紙媒体・人的資産の漏れ)、②リスク評価基準の不明確さ(担当者によって評点がばらつく)、③リスク対応計画とSOA(適用宣言書)の整合性不足、④前回のリスクアセスメントからの変更点が文書化されていない、の4点が頻出指摘事項です。
SOA(適用宣言書)とは何ですか?リスクアセスメントとどう関係しますか?
SOA(Statement of Applicability:適用宣言書)は、ISO 27001附属書Aに定められた管理策のうち、自組織が「適用する管理策」「適用しない管理策」を明示した文書です。リスクアセスメントの結果に基づき、各管理策を適用するかどうかを判断し、適用しない場合はその理由を記載します。審査員が最初に確認する核心文書のひとつです。
リスクアセスメントはどのくらいの頻度で実施すべきですか?
ISO 27001(JIS Q 27001:2022)の6.1.2では、「定めた間隔で、または重大な変化が提案・発生したとき」にリスクアセスメントを実施することが求められています。実務的には年1回を基本とし、組織改編・新システム導入・重大なインシデント発生などのイベントが起きたタイミングで追加実施するのが一般的です。
社員数が少ない中小企業でも、ISMSのリスクアセスメントを簡略化できますか?
はい。規格は「どの程度詳細に行うか」を強制しておらず、組織の規模と複雑さに応じて実施方法を選べます。従業員50人未満の場合は、情報資産を「重要度:高・中・低」の3分類に絞り、高リスク資産に絞った重点評価から始める方法が現実的です。過度に複雑なフォーマットより、担当者が継続的に更新できるシンプルな仕組みを選ぶことが審査対応と実効性の両立につながります。
この記事をシェア