【図解】ISMSリスクアセスメント・対応の実践フロー
ISMS(情報セキュリティマネジメントシステム)の核心である「リスクアセスメント」。しかし、規格(JIS Q 27001)を読んでも「具体的に何をどの順で書けばいいのか」は書かれていません。
最新の JIS Q 27001:2023 (ISO/IEC 27001:2022) では、リスクアセスメントの手順が複数の箇条(箇条6、箇条8等)にまたがっており、実務での全体像が見えにくいという声も多く聞かれます。
本記事では、リスクの特定・分析・評価から対応まで、ひと目でわかる図解「ISMSリスクマネジメントの流れ」とともに、JIS規格の要求事項と実務作業を完全に紐付けた「具体的な進め方」を徹底解説します。
最新の JIS Q 27001:2023 に対応した実務マニュアルとしてご活用ください。
この記事で解決できること
- 最新のJIS規格に準拠したリスクアセスメントの全体像の把握
- 規格の要求事項と具体的な実務作業の紐付け
- リスクアセスメントを実践する具体的な4つの手順の習得
- 実務で迷いがちなリスク対応の判断・運用のポイントの理解
目次
※画像クリックで全体フローのPDFを表示
インプット:組織の状況と利害関係者の理解(箇条4.1・4.2)
リスクアセスメントを本格的に開始する前の必須インプットとして、組織の内外の課題や、利害関係者からの要求事項をあらかじめ特定しておく必要があります。これらは、リスク及び機会を決定する際の重要な判断材料になります。
具体的には、以下の2つの要素を考慮に入れます。
- 組織及びその状況: 法規制、市場や社会的・文化的環境、組織構造、経営戦略、保有する資源など。
- 利害関係者のニーズ及び期待: 顧客、供給者、従業員など、組織の情報セキュリティの取組みに期待している者や影響を受ける者のニーズや要件。
規定化:リスクアセスメントとリスク対応のやり方(箇条6.1.2・6.1.3)
JIS規格が求めるのは、単にリスクを評価することだけでなく、評価の手順そのものを「規程」として整備し、組織の仕組み(ISMS)に組み込むことです。
【独自解説】JIS要求事項と実務作業の対応一覧
| JIS Q 27001 要求事項 | 具体的な実務作業(アウトプット) |
|---|---|
| 6.1.2 a) リスク基準の確立 | リスクアセスメント規定で「3段階評価」などのルールを決める |
| 6.1.2 c) リスクの分析 | 情報資産台帳で「資産価値」を評価する リスク分析表で「資産価値×脅威×脆弱性」を計算する |
| 6.1.3 d) 適用宣言書の作成 | 附属書Aの93項目と自社対策を比較した表を作る |
ISMSリスクアセスメント・対応を実践する具体的4ステップ
ここからは、規程で定めたルールに沿って、実際にリスクアセスメントと対応を進める4つの具体的な手順を解説します。
手順1:リスク評価基準(物差し)の策定
手順1は、組織全体で共通して使用する「リスク評価の物差し(判断基準)」を作るステップです。 ここが曖昧だと、担当者によって評価がバラバラになり、形骸化の原因となります。
実務においては、具体的に以下の3つの要素を定義します。
- 資産価値の定義:
「機密性(厳格な取扱い)」「完全性(正確性の確保)」「可用性(利用のしやすさ)」の3軸において、1~4(低・中・高・非常に高い)の格付け段階を設ける。
(例:漏洩時に会社全体に重大な損失を与えるなら「4」など) - 脅威・脆弱性の定義:
発生頻度(脅威)やセキュリティ対策の不備(脆弱性)を、1~3(低・中・高)の数値で定義する。
(例:標的型メールの脅威は週1回程度なら「3」・暗号化なしなら脆弱性「3」など) - リスク受容水準:
リスク値を「資産価値 × 脅威 × 脆弱性」で算出し、「合計値がいくつ以上なら対策が必要か(受容できないか)」の境界線を決めます。審査では「なぜこの受容基準(例:12以上など)にしたのか」を経営的な視点から合理的に説明できることが重要です。
手順2:リスクの特定・分析・評価(算定表の活用)
手順2は、特定した情報資産に対して数値を当てはめ、リスクの大きさを格付けするステップです。 実務の工数を最小化するため、情報の種類や保管形態・場所が同じ資産は適切に「グルーピング」して効率化を図ります。
具体的なアプローチの流れは以下の通りです。
- 資産価値の分類:
「機密性・完全性・可用性」の観点から重要度を判定し、「情報資産管理台帳」へ集約・記録します。 - 脅威・脆弱性の分類:
グループ化した情報資産が晒されている「脅威」と、現在の対策の穴である「脆弱性」を「リスク分析表」にて格付けします。 - リスク値の算出と評価:
算出したリスク値を以下のマトリクス表に当てはめ、対策が必要なリスク(要対応リスク)をあぶり出します。【実務で使う】リスク値算出の算定マトリクス例
脅威 1 2 3 脆弱性 1 2 3 1 2 3 1 2 3 資産
価値1 1 2 3 2 4 6 3 6 9 2 2 4 6 4 8 12 6 12 18 3 3 6 9 6 12 18 9 18 27 4 4 8 12 8 16 24 12 24 36 ※緑色のセル(12以上)が「受容基準を超えたリスク」として対策が必要な範囲の例
【記入例】リスクアセスメント表の1行
資産名:顧客名簿(Excel) | 価値:3 × 脅威:誤送信(2) × 脆弱性:上長承認なし(3)
リスク値:18 → 対策必須
手順3:リスク対応計画と「適用宣言書」の作成
手順3は、受容基準を超えたリスクに対して適切なセキュリティ管理策を選択し、対応の計画を立てるステップです。
管理策の選択(箇条6.1.3)
特定したリスクを「回避・低減・移転・保有」の4つのアプローチのいずれかで処理します。「低減」を選択する場合は、JIS Q 27001 附属書Aに規定されている93の管理策をチェックリストとして活用し、必要な対策を決定します。
- リスク低減: セキュリティ対策を施し、発生可能性や発生時の影響範囲を小さくする。
- リスク回避: リスクを伴う業務そのものを廃止・禁止し、リスクの発生源をなくす。
- リスク移転: 保険への加入や外部委託(アウトソーシング)により、リスクを他者と共有する。
- リスク受容: あえて追加の管理策を講じず、発生時の損失を組織で受け入れる。
適用宣言書(SoA)の作成
決定した管理策を附属書Aの項目と比較して見落としがないか検証し、「どの管理策を採用したか」「なぜ除外したか」の根拠を一覧にした「適用宣言書」を作成します。これはISMS審査において最重要の提出書類となります。
なぜリスク対応の選択肢が4つなのか?
リスクマネジメントの国際規格であるISO 31000やISMSの用語規格ISO/IEC 27000では、リスク対応の選択肢として以下の「7つの選択肢」が定義されています。
- リスクを生じさせる活動を開始又は継続しないと決定することによる、リスクの回避
- ある機会を追求するために、リスクを取る又は増加させること
- リスク源を除去すること
- 起こりやすさを変えること
- 結果を変えること
- 1つ以上の他者とリスクを共有すること(契約、リスクファイナンシングなど)
- 情報に基づいた選択による、リスクの保有
実務や一般的な解説でよく使われる「4つの対策(回避・低減・移転・受容)」は、この7つを分かりやすくグルーピング(要約)したものに過ぎません。
| 一般的な4つの対策 | ISO規格における7つの選択肢 |
|---|---|
| 回避 |
|
| 低減 |
|
| 移転・共有 |
|
| 受容・保有 |
|
実務においては、「リスク値が受容基準を超えているが、対策コストが過大で、現時点では対応が極めて困難」というトレードオフの状況に直面することがあります。その際は、4つの枠に無理に当てはめるのではなく、規格の『2. 機会を追求するためにあえてリスクを取る』という本質を理解し、経営層のトップダウンで戦略的に受容する(保有する)という判断も選択肢となり得ます。
手順4:リスク対応計画の策定と残留リスクの承認
手順4は、決定したセキュリティ管理策の実施スケジュールを確定させ、最終的に残るリスク(残留リスク)について経営層から正式な承認を得るステップです。
- 導入に大きな投資や数ヶ月の期間が必要な管理策については、優先度やリソースを勘案した「リスク対応計画」としてマイルストーンを明確にします。
- 対策を講じた後も、確率論的にゼロにできないリスクは「残留リスク」として残ります。これらをリスク所有者(トップマネジメント・経営層)が正しく把握し、受容のサイン(承認)を得ることがJIS規格における必須要件となります。
運用:リスクアセスメント及びリスク対応の記録(箇条8.2・8.3)
リスクアセスメントは一度実施して終わりではありません。JIS規格の箇条8では、策定した計画を実際の業務に落とし込み、その「実施記録」を保持し続けることを求めています。
PDCAサイクルを回すため、運用開始後は以下のようなタイミングでリスクアセスメントの手順を再実行します。
- 定期的な見直し: 少なくとも年1回などの頻度で、状況の変化がないか再評価を行う。
- 組織や環境の重大な変更時: 新システムの導入、テレワークの開始、オフィス移転、重要な法改正などが発生した際、その都度スポットで手順を実行する。
- これら一連のアセスメントおよび対応の結果は、「文書化した情報(記録)」として審査時にいつでも提示できるよう厳格に管理します。
よくある質問(お客様の声)
- Q. 詳細リスクアセスメントとベースライン、どちらか一方で良いですか?
- A. 基本的には、全社的な底上げと重要資産への深掘りを両立する「組合せアプローチ」を推奨します。効率と精度のバランスが最も良いためです。
→ 詳細リスク分析とベースライン法の具体的な使い分けはこちら - Q. 少人数の組織ですが、もっと手順を簡略化できませんか?
- A. 可能です。重要度の低い資産を整理し、守るべき核心にリソースを集中させることで、審査基準を満たしつつ運用負荷を最小限に抑えられます。
→ 少人数組織向けのリスクアセスメント簡略化手順はこちら - Q. リスクアセスメントに「ギャップ分析対策表」は必須ですか?
- A. 規格上、特定の名称の書類が必須ではありませんが、最新規格(JIS Q 27001:2023)との差分を漏れなく確認するためには、実務上極めて有効なツールです。
→ ギャップ分析対策表(シート)を実務で活用するメリットはこちら
【本記事の手順を今すぐ実践できるツール】
解説通りの「リスク評価表(リスクグループ分析対策表)」や「適用宣言書」、93の管理策に対応した「マニュアル」及び「規程書」をパッケージ化した「ISMSサンプル文書集」を販売しています。具体的な手順をゼロから構築する時間を大幅に削減できます。
まとめ
最新の JIS Q 27001:2023 (ISO/IEC 27001:2022) におけるISMSリスクアセスメントは、単にリスクを評価するだけでなく、その手順を規程化し、組織の仕組みとして日々の運用に落とし込むことが重要です。本記事で解説した具体的な4つの手順をおさらいしましょう。
- 手順1:リスク評価基準(物差し)の策定
資産価値・脅威・脆弱性の格付け段階を定義し、経営的な視点から合理的に説明できる「リスク受容水準」を決定します。 - 手順2:リスクの特定・分析・評価
情報資産を適切にグルーピングし、算定マトリクスを活用して効率的に対策が必要なリスクをあぶり出します。 - 手順3:リスク対応の選択と「適用宣言書」の作成
4つのアプローチ(回避・低減・移転・受容)から対策を選び、審査における最重要書類である「適用宣言書(SoA)」を作成します。 - 手順4:リスク対応計画の策定と残留リスクの承認
実施スケジュール(マイルストーン)を明確にし、最終的に残るリスク(残留リスク)について経営層から正式な承認を得ます。
リスクアセスメントは一度実施して終わりではなく、年1回などの定期的な見直しや、組織・環境の重大な変更時に再実行して「実施記録」を保持し続ける(箇条8の運用)ことが不可欠です。自社のリソースや組織規模に合わせて手順を最適化し、形骸化しない実効性の高いISMSを構築していきましょう。
