ISMSでは情報セキュリティに関するリスクの管理も行います。「リスクには対策ありき」でなく、「リスク受容」という特殊な対応をすることもあります。
今回はISMSにおけるリスクや、リスクの受容に関して説明します。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。
ISMSにおけるリスクの定義
ISMSにおける「リスク」とは情報セキュリティリスクを指します。
ISMS認証規格(ISO 27001)の参照規格である「ISO 27000」では、リスクを以下のように定義しています。
3.61 リスク(risk) 目的に対する不確かさの影響。 (中略) 注記 5 ISMSの文脈においては、情報セキュリティリスクは、情報セキュリティ目的に対する不確かさの影響として表現することがある。
ここで、リスクを規格で定義された要素に分解し、具体的に見てみます。
| 要素 | 内容(ISO 27000:2018 より) | 例 | 要素の特徴 |
|---|---|---|---|
| 目的 | 情報セキュリティ目的 | マルウェアからの保護 | - |
| 不確かさ | 事象とその結果、発生率に関する情報/理解/知識に不備がある状態 | OSアップデートの失敗 | 改善可能 (リスク低減に寄与) |
| 影響 | 期待からの乖離(良否問わず) | マルウェア感染 | 一方向でなく、多面的 |
ISMSの目的は情報セキュリティの維持管理です。これはISMSの永遠のテーマであり、不変なものといえます。しかし、ルール自体は外部環境や組織内部の変化に適応するため、継続的に改善・改良されるべきものです。
なお、最後のリスクによる影響について、ISMSを含むISO規格のマネジメントシステムでは、好ましくないものだけに限定していません。
ISOのマネジメントシステム規格のリスク定義を押さえる
ISMSはさまざまなISO規格に存在する「マネジメントシステム」の一つです。ほかにはQMS(品質マネジメントシステム)やEMS(環境マネジメントシステム)などがあります。
さらに、包括的なマネジメントシステムの規格に「ISO 31000」があり、ここにもリスクとその要素についての定義があります。要素についてISO 27000より細かく説明されており、今回のテーマであるリスク受容を知る上で参考になります。
3.1 リスク(risk) 目的に対する不確かさの影響。 (中略) 注記 3 一般にリスクはリスク源、起こり得る事象およびそれらの結果ならびに起こりやすさとして表される。
つまり、リスクは以下の要素をもって表されます。
- リスク源 :潜在的なリスク発生源
- 起こり得る事象 :一連の状況の出現または変化
- 発生結果と発生率 :発生事象の結末と起こる確率
これらはリスクの受容に関する重要な要素となります。
リスク受容とは
ISMSにおけるリスク受容とは「特定のリスクを取る意思決定」を指します。
ISMSの関連規格、ISO 27000では次のように定義されています。
3.62 リスク受容(risk acceptance) ある特定のリスクをとるという情報に基づいた意思決定。 注記1 リスク対応を実施せずにリスク受容となることも、又はリスク対応プロセス中にリスク受容となることもある。 注記2 受容されたリスクは、監視及びレビューの対象となる。
リスク受容の趣旨を簡単に説明すると、何にせよリスクは存在するため、リスクの程度やリソースを勘案して、実務的に無視できるリスクならば対策せずに済ませようというものです。
ただし、ISMSの認証規格の要件に、リスク受容の意思決定にあたって、リスクを引き受ける「リスク所有者」の承認を得る旨の規定があるので注意しましょう。
なお、リスク受容はリスクアセスメントで決定されることもあれば、特定のリスクの対応中に「影響が軽微」と判断され、結果的にリスク受容とすることも許容されています。
もしも受容されうるリスクが発生したら、特段対策を行わなくても、監視やレビューによる認知と経過の見守りを行います。
リスク受容の基準、決定までの簡単な流れ
リスク受容の基準とは、リスク、ひいてはリスクを誘引する事柄に対応するかどうかの判断基準です。
リスク受容の基準を決定するまでのざっくりとした流れを紹介します。
組織にどんな情報資産があり、日々の業務でどの情報が重要なのかを洗い出します。組織にとって重要な情報資産を把握しないと、リスク対策を実施できないからです。
次に、リスクとリスクを誘引する事柄を抽出します。以下のように考えて導き出します。
情報資産には発生すると問題となる多くの事象、つまりリスクが考えられます。
そして、リスクを引き起こすものに各種の脅威があります。洗い出した情報資産に対しては、どんな脅威があるのでしょうか?
また、脅威によるリスクを現実化させる要因となる弱点も考えられます。
すなわち脆弱性のことで、情報資産に対してどんな脆弱性があるのでしょうか?
最後に、リスクを受け入れる基準を定め、特定のリスクがその基準に該当すると判断した場合、リスク受容になります。
リスクがあると認識していても、対策しなければリスクを受け入れていることになります。組織にとり、特定のリスクは受け入れてよいと判断すれば、まったく問題ありません。
リスク受容に関わる実施事項
ISMSのリスク受容は単独で完結する業務ではなく、リスクアセスメントの一環で行われます。さらに、特定のリスクを受容すると決めた後も、そのリスクを監視して状態を把握することもあります。
ここではISMSのリスク受容の周辺業務について紹介します。
リスク識別とリスクアセスメント
リスク受容の決定は「リスクアセスメント」で行われ、そこでは組織に存在するリスクをすべて把握する「リスク識別」の工程から開始するのが普通です。
リスクアセスメントの主な工程は以下のとおりです。
- リスク識別
- リスク分析と評価
リスク識別とは、組織内の情報資産の洗い出しと、それにともなうリスクの特定です。
次いで、一定基準のもとに個々のリスクを分析し、さらに対応の優先度を決めるためのレベル分けをします。補足すると、基準は情報セキュリティ目的に及ぼす潜在的な影響(リスク)の大きさによる段階制を取ります。
ここで、発生頻度が極めて低いリスクや、また発生による影響が軽微で対応不要と判断されたリスクが「受容」されることになります。
監視やレビュー
受容可能と判断したリスクに対して、何らアクションを取らないこともあれば、監視やレビューによる継続的なフォローを実施することもあります。
当面は静観しても問題がないが、今後情報セキュリティ目的に一定の影響を及ぼす可能性があるなら、対策ではなく監視による状況観察がふさわしいでしょう。
リスク監視やレビューで見ておくべきポイントに次があります。
- リスク発現の前提条件の変化
- 脅威の変化
- リスクを誘引するトリガーの発生
- 新たな対策の必要性
- リスク対応の方針変更
リスクを取り巻く組織内外の情勢が変化すると、リスクの大きさや影響度が変わることがあります。ISMSのPDCAサイクルを活用し、監視している受容リスクは定期的な見直しや再検討を行いましょう。
まとめ
リスク受容の採用は、効率的かつ、実用的なリスク運用のため必要です。受容リスクの今後が懸念されるなら、定期的な見直しを行いましょう。
また、ISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。
