情報セキュリティ(25) 詳細リスク分析の実施方法①

ここからは、情報セキュリティリスクを、より詳細に把握するための手順を書きます。システムの規模が大きくなれば、リスクの全体像を把握することが難しくなってきます。網羅的に脆弱性・脅威・損害規模を分析し、リスクがどこにどれくらい存在するのか、分析します。

手順のその一として、情報資産の洗い出しを行います。

その方法として、業務で使用する電子データや書類を、独立行政法人情報処理推進機構(IPA)の情報セキュリティーセンターが提示するリスク分析シートに書き出します。
 リスク分析シート(全7シート、99KB)

①情報資産管理台帳の作成
会社が保有する様々な情報資産を、リスト化します。データ、文書の区分も書いておきます。取引先情報、取引情報、従業員情報、商品情報など、様々な情報が様々な形で存在しますが、それをリスト化するのです。

②情報資産ごとの機密性・完全性・可用性の評価
リスト化した情報資産ごとに、機密性・完全性・可用性を評価します。機密性(Confidentiality)とは、アクセスを許されていない者は情報にアクセスできないことです。 完全性(Integrity)とは、情報や情報の処理方法が正確で完全であることです。可用性(Availability)とは、アクセスが許された者は、必要な時に情報にアクセスできることです。イニシアルをとって、CIAとすれば、覚えやすいと思います。それぞれの情報ごとに、この3点から評価します。

③重要度の算定
機密性・完全性・可用性の評価結果から、どの情報のセキュリティを上げるのか、重要度の算定を行います。評価結果は低くとも、万一漏洩した場合の会社に対するダメージが大きいものは、リスク最大とします。

リスク分析は、客観的な視点で行うべきです。分析を行う前からリスクを過小評価・過大評価をすることがないよう、十分留意します。

投稿者プロフィール

小笠原 裕
小笠原 裕中小企業診断士 行政書士
バラの咲く街、八千代市緑が丘で、コンサルティング事務所を運営しています。