ISMSリスクアセスメントの「グループ化」と「平準化」はどこまで行うべきですか?
購入させて頂いた「ISMS認証取得支援パッケージ」にてISMS取得準備を行っていますが、取得支援ガイドP.41の内容について確認させて頂きたい事があります。
P.41にてISMS-B06-1.00-D01情報資産台帳に3つの例が記載されていますが、資産価値が違う同一グループ名が存在しているようです。
そしてリスクグループ分析対策表は各グループ毎に作成するように書かれていますが、リスクアセスの観点からすると「グループ名+資産価値」の複合がユニークな値となり、それぞれにリスクグループ分析対策表を作成する、という考え方で間違いないでしょうか。
ガイドのサンプルだと「1F-IT-PA-BX-444」と「1F-IT-PA-BX-223」がそれぞれ別表となる解釈でよろしいでしょうか。
「ISMS認証取得支援パッケージ」を用いたリスクアセスメントの進め方について回答申し上げます。
結論から申し上げますと、ご指摘の通り「グループ名+資産価値」を個別に分析することも論理的には正解ですが、弊社のサンプル文書では「資産価値の平準化(レベル合わせ)」により分析作業の効率化を図る手法を推奨しています。
1. 資産評価と分析のステップ
サンプル文書では、以下のステップで作業負荷を軽減する構成をとっています。
- 洗い出し:
担当者ごとに「情報資産台帳」へ資産をリストアップする。 - 個別評価:
各資産に機密性・完全性・可用性(C/I/A)のスコアを付ける。 - グルーピング:
性質の似た資産を一つのグループにまとめる。 - 平準化:
同一グループ内の各項目の最大値を、そのグループの代表値とする。 - リスク分析:
平準化された「グループ単位」でアセスメントを実施する。
2. 「平準化」による効率化の考え方
「平準化」とは、同じ情報資産でも、資産価値(機密性、完全性、可用性)の評価が異なる場合があります。それを、再度確認し、資産価値を統一する作業です。
平準化する場合は、各資産で設定されている資産価値(機密性、完全性、可用性)の最大値を、グループの資産価値として設定します。
例)資産A:機密性=1 資産B:機密性=3の場合
グループの機密性は3になります。
例えば、「1F-IT-PA-BX-444」と「1F-IT-PA-BX-223」という資産がある場合、平準化によってこのグループの価値を「444」に統合します。
同じグループであれば直面する脅威(紛失、盗難、破損など)は共通していることが多いため、最も価値の高い資産(優先して守るべき資産)に合わせて対策を決定すれば、グループ全体の安全性を効率的に確保できます。
JIPDECの指針でも、資産の特定は「詳細な台帳作成」が目的ではなく、「適切な対策の決定」が目的であるとされています。全ての資産を網羅した膨大な台帳を作ることよりも、組織全体で適切な対策を決定することに主眼が置かれています。
3. 運用を重くしないための「重要資産」定義
ただし、全てを高い価値に合わせてしまうと、本来は低いセキュリティで済む資産に対しても過剰なルールが適用され、現場が疲弊してしまう恐れがあります。これを避けるため、弊社サンプルでは「重要資産」という定義を活用しています。
- 重要資産:
セキュリティ価値(CまたはI)が4以上の資産。規程上の厳格なルールの対象とする。 - 一般資産:
グループ内の価値は平準化されているが、重要資産ではないため、過剰な制約を課さずに運用する。
これにより、分析の効率化(グループ化)と、運用の柔軟性(重要資産の選別)を両立させています。
例えば、規程の主語を「重要資産は~する」と限定することで、グループ化による効率化と、実態に即した柔軟な運用の両立を図っています。
4. アドバイス
リスクアセスメントで最も重要なのは、管理が形骸化しない程度に「簡素化」し、本当に守るべき資産に注力することです。
まずはサンプル通りの平準化手法で進められ、管理負荷を抑えた運用からスタートすることをお勧めいたします。
