情報セキュリティ講座(9)　情報セキュリティリスクマネジメント

情報セキュリティリスクについては、いかにマネジメントするかが課題となります。その手順は下記のようになります。

1. 情報資産の調査・分類
組織にどのような情報資産があるのかを調査します。守るべき情報がどれだけあるのかがわからなければ、リスクの総量を評価することができません。情報については、公開されているような情報から、洩れると大きな問題となる機密情報まで、様々なものがあります。そこで、情報については、重要度・機密度などの観点から分類を行います。さらに、情報資産をリスト化し、情報資産台帳として整理します。

2. リスクアセスメント
情報資産台帳に登録された情報ごとに、情報セキュリティの観点からリスクを評価します。これをリスクアセスメントと言います。評価するためには基準が必要です。そのために設定されるのが、リスク基準です。情報セキュリティリスクの項で書いた通り、情報セキュリティリスク = 情報の価値 × 脅威 × 脆弱性に要素分解できますので、この結果をリスクアセスメントの結果として記録します。

3. リスク対応
リスクアセスメントの結果をもとに、リスク対応策を決定します。
リスクが大きいものは、リスク低減策をとります。コストをかけて、ネットワークセキュリティを高めるなどです。
リスク移転という方法もあります。保険をかけて、万一の事件・事故に備えるものです。
リスク回避は、そもそもリスクが発生しないよう、情報を抹消するものです。個人情報は最初から入手しない、などです。
リスク受容は、リスクが小さいので、そもそも何もしない、という方法です。

守るべき財産を把握し、リスク評価し、対応策を決定するというのは、リスクマネジメント全般に共通する手法です。情報リスクにおいても同様の手法が、情報セキュリティリスクマネジメントにおいても適用可能です。