この記事でわかること
- ISMSリスクアセスメントの目的と全体フロー
- 情報資産の洗い出しと台帳の作り方
- 脅威・脆弱性の特定方法
- リスク値の算出と評価基準
- リスク対応計画の4つの選択肢
- 審査で指摘されやすいポイント
リスクアセスメントはISMSの心臓部
ISMS(情報セキュリティマネジメントシステム)において、リスクアセスメントは最も重要なプロセスです。ISO 27001の審査でも最も重点的にチェックされる領域であり、ここが不十分だと認証取得は困難です。
リスクアセスメントの目的はシンプルです。「自社の情報資産にどんなリスクがあるかを特定し、優先順位をつけて対策する」こと。闇雲にセキュリティ対策を入れるのではなく、リスクに基づいて合理的に対策を決める——これがISMSの基本的な考え方です。
リスクアセスメントの全体フロー
- 情報資産の洗い出し — 守るべき情報資産を一覧化
- 脅威の特定 — 各資産に対する脅威(攻撃、災害、ミス等)を列挙
- 脆弱性の特定 — 各脅威に対する弱点を特定
- リスク値の算出 — 影響度×発生可能性でリスクを数値化
- リスク評価 — 許容可能かどうかを判定
- リスク対応計画の策定 — 対策を決定し、実行計画を作成
ステップ1:情報資産の洗い出し
まず、自社が持つ情報資産を漏れなく洗い出します。
情報資産の分類
| 分類 | 例 |
|---|---|
| 電子データ | 顧客データベース、設計図、ソースコード、財務データ |
| 紙媒体 | 契約書、見積書、人事評価シート |
| ソフトウェア | 基幹システム、SaaS、自社開発アプリケーション |
| ハードウェア | サーバー、PC、ネットワーク機器、USBメモリ |
| サービス | クラウドサービス、外部委託先のシステム |
| 人 | 従業員が持つ知識・ノウハウ |
資産台帳に記載する項目
- 資産名・資産ID
- 分類(電子データ/紙/SW/HW等)
- 管理責任者
- 保管場所(物理/論理)
- 機密性・完全性・可用性の評価(各3段階)
- 資産価値(3段階評価の合計)
ステップ2〜3:脅威と脆弱性の特定
脅威の分類
| 脅威の種類 | 例 |
|---|---|
| 意図的脅威 | 不正アクセス、マルウェア、内部犯行、ソーシャルエンジニアリング |
| 偶発的脅威 | 操作ミス、設定ミス、メール誤送信 |
| 環境的脅威 | 地震、火災、水害、停電 |
脆弱性の例
- パスワードが短い・使い回し
- ソフトウェアのアップデートが未適用
- バックアップが未実施
- 退職者のアカウントが残存
- セキュリティ教育が未実施
- 入退室管理がない
ステップ4:リスク値の算出
リスク値の算出方法はいくつかありますが、中小企業に最も適した方法を紹介します。
算出式
リスク値 = 資産価値 × 脅威レベル × 脆弱性レベル
各要素の評価基準
| 評価 | 資産価値 | 脅威レベル | 脆弱性レベル |
|---|---|---|---|
| 3(高) | 漏洩で事業継続に重大な影響 | 過去に発生、または高頻度で発生 | 対策未実施 |
| 2(中) | 漏洩で業務に支障 | 発生の可能性あり | 対策不十分 |
| 1(低) | 漏洩の影響は限定的 | ほぼ発生しない | 対策実施済み |
リスク値の最大は 3×3×3=27、最小は 1×1×1=1 です。
ステップ5:リスク評価
算出したリスク値を基に、対応の優先順位を決めます。
| リスク値 | レベル | 対応方針 |
|---|---|---|
| 18〜27 | 高リスク | 即時対応が必要。リスク対応計画を策定 |
| 8〜17 | 中リスク | 計画的に対応。年度内に対策実施 |
| 1〜7 | 低リスク | 許容可能。現状維持またはモニタリング |
ステップ6:リスク対応計画
リスクへの対応は4つの選択肢があります。
- リスク低減 — セキュリティ対策を実施してリスクを下げる(最も一般的)
- リスク回避 — リスクの原因となる活動をやめる(例:USBメモリの使用禁止)
- リスク移転 — 保険やアウトソーシングでリスクを第三者に移す
- リスク受容 — リスクが許容範囲内であると判断し、現状を受け入れる
審査対応のポイント
ISMS審査でリスクアセスメントに関して最も多い指摘は「リスク対応計画と管理策の紐付けが不明確」です。リスクを特定して対策を決めたら、ISO 27001の附属書Aの管理策(93項目)のどれに該当するかを明記しましょう。また「リスク受容」を選ぶ場合は、なぜ受容が妥当かの根拠を文書化してください。根拠なく受容すると審査で不適合になります。
あわせて読みたい
- ISMS・Pマーク取得ガイド|中小企業の情報セキュリティ認証の進め方
- ISMS(ISO27001)取得の手順|審査対応と必要書類を完全解説
- 情報セキュリティポリシーの作り方|中小企業向けテンプレートと記載項目
- 情報セキュリティ監査の進め方|社内監査のチェックリストと実施手順
- 中小企業のサイバーセキュリティ対策|攻撃事例と実践的な防御策【2026年版】
まとめ
- リスクアセスメントはISMSの心臓部。審査でも最重点チェック領域
- 情報資産の洗い出しが出発点。漏れなく台帳にまとめる
- リスク値=資産価値×脅威×脆弱性で定量的に評価
- リスク対応は4択(低減・回避・移転・受容)。受容には根拠が必要
- 附属書Aの管理策との紐付けを明確にする
- 年1回以上見直す。環境変化やインシデントを踏まえて更新
ISMSのリスクアセスメントやISO27001取得のご相談は、お問い合わせからお気軽にどうぞ。FUNBREWでは、認証取得の支援から運用定着までサポートしています。
よくある質問
中小企業でもセキュリティ対策は必要ですか?
はい、必要です。サイバー攻撃は企業規模を問わず発生しており、中小企業はセキュリティ対策が手薄なため、むしろ標的になりやすい傾向があります。IPAの調査でも中小企業の被害報告は増加しています。
セキュリティ対策の優先順位は?
まずはパスワード管理の強化、OSやソフトウェアのアップデート、ウイルス対策ソフトの導入など基本的な対策から始めましょう。その上で、データのバックアップ体制、従業員への教育と進めていくのが効果的です。
セキュリティ対策にかかる費用の目安は?
基本的な対策(ウイルス対策・ファイアウォール等)は月額数千円〜数万円程度から始められます。ISMS認証取得の場合は初期費用50〜200万円、維持費用が年間30〜100万円程度が目安です。
この記事をシェア