グループ別リスク分析・評価のリスクの算出方法について教えてください。
ISMS認証取得支援パッケージをを購入させて頂いたものですが、リスク管理マネジメント管理規定の記載事項について確認させて下さい。
※確認項目
”5.2 グループ別リスク分析・評価”の”(3)リスクの算出”について確認いたしたく。
→ 本文では”リスク値=資産価値(機密性、完全性、可用性)x脅威ランクx脆弱性ランク”と算出方法が記入されてます。
資産価値(機密性、完全性、可用性)の内部の計算式を教えて下さい。
例えば、”資産価値=(機密性+完全性+可用性)”などです。
ご購入いただいたISMS認証取得支援パッケージのご活用、誠にありがとうございます。ご質問いただいた「資産価値」の計算式について解説いたします。
結論から申し上げますと、ご推察のような「機密性+完全性+可用性」という単純加算(足し算)は行いません。
ISMSにおいては、一つの情報資産に対して「機密性(C)」「完全性(I)」「可用性(A)」の3つの側面から個別にリスクを評価することが基本となります。以下にその理由と具体的な算出イメージを整理しました。
1. リスク算出の考え方:個別評価の原則
リスク値は、情報資産の各特性(CIA)に対して、脅威と脆弱性がどのように作用するかを個別に算出します。
- 機密性(Confidentiality)のリスク値 = 資産価値(C) × 脅威ランク × 脆弱性ランク
- 完全性(Integrity)のリスク値 = 資産価値(I) × 脅威ランク × 脆弱性ランク
- 可用性(Availability)のリスク値 = 資産価値(A) × 脅威ランク × 脆弱性ランク
なぜ加算しないのかというと、「脅威によってダメージを受ける側面が異なるから」です。
2. 具体例:「火災」という脅威の場合
例えば、サーバー室で「火災」が発生したケースを想定してみましょう。
- 機密性(C)への影響:
情報が燃えてなくなっても、外部に漏洩したわけではないため、機密性へのダメージは低い(または関係ない)場合があります。 - 完全性(I)への影響:
データが焼失・破損し、正しい状態ではなくなるため、ダメージは非常に大きくなります。 - 可用性(A)への影響:
システムが停止し、必要な時に使えなくなるため、ダメージは極めて大きくなります。
もしこれらを足し算(C+I+A)でまとめてしまうと、「機密性への対策」と「可用性への対策」の区別がつかなくなります。ISMSでは、「可用性のリスクが高いから、バックアップや耐火金庫を用意しよう」といった、弱点に直結した具体的な対策を講じることが求められるため、あえて分けて計算するのです。
3. リソースを最適化する「最大値」の採用
実務上、すべての資産に対してCIAごとに3つのリスク値を管理するのが煩雑な場合、多くの組織では以下の「最大値採用(Max法)」を取り入れています。
実務的な算出例:
ある情報資産の評価が「C=3, I=2, A=1」だった場合、その資産の代表的な資産価値を「3(最大値)」として固定し、リスク計算を行う手法です。
ただし、この場合でも「どの側面(C・I・A)に対するリスクなのか」を意識して対策(管理策)を選定することが、ISMS審査における重要な評価ポイントとなります。
4. ガイドブックでの確認方法
本パッケージに同梱されている以下の資料に、より詳細な解説と具体例が記載されています。
「ISMS認証取得支援ガイド_2023(または最新版)」
「リスクアセスメントの実施」の章にて、脅威の種類(意図的・偶発的・環境的)ごとに、CIAのどの要素に影響を与えるかの対応表を掲載しています。
補足:最新規格(ISO 27001:2022)への対応について
2022年の規格改訂においても、この「CIAに基づくリスク評価」の根本的な考え方に変更はありません。弊社のサンプル文書集は、これらの基本原則を遵守しつつ、審査員への説明がしやすい構成となっております。
上記の説明と同様の内容が、以下のテキストにも記載されていますので、ご参考ください。
- 「ISMS認証取得支援ガイド_2023」
