リスクグループ分析対策表(記入例)について
リスクグループ分析対策表(記入例)についての質問です。
1F-IT-DT-HDのリスクグループでここに挙げられている脅威の種類が16種類の脅威が選択されていますが、どういった基準でこの16種類の脅威が選択されたのでしょうか?
ちなみに脅威一覧表には32種類あります。
また、この脅威にはこの管理策という管理策の選択の問題ですが、これも管理策のなかで、脅威の分類別、資産区分別にどの管理策を用いれば、効果的な対策となるかというところが厄介に感じています。
なにかいい方法はありますか。
ご質問ありがとうございます。弊社のサンプル文書(1F-IT-DT-HD:1階事務室のデスクトップPC等)を例に、実務的なリスクアセスメントの進め方を解説します。
結論から申し上げますと、すべての脅威を網羅することよりも、「自社の環境において現実的に起こりうるか(妥当性)」と「管理の効率化(グルーピング)」のバランスを取ることが重要です。
1. なぜ「16種類」の脅威を選定しているのか(選定基準)
「脅威一覧表」に32種類ある中で、特定の資産グループに16種類を選択しているのは、「資産の属性」と「設置環境」に紐づくリスクのみを抽出しているためです。
- 資産の属性による絞り込み:
例えば「デスクトップPC(ハードウェア)」という資産に対し、ソフトウェア特有の脅威(ライセンス違反等)は直接的な物理破損を招くものではないため、除外される場合があります。 - 設置環境による絞り込み:
「1F(1階)」に設置されている場合、上階からの水漏れよりも「浸水」や「部外者の侵入」の脅威が高まります。 - 一般性・代表性の優先:
記入例では、一般的なオフィス環境で発生しうる「ハードウェア故障」「誤操作」「紛失・盗難」「地震」などの代表的な脅威を16種類ピックアップしています。これらは特定の基準による限定ではなく、あくまで「この資産グループなら、まずこれらを検討すべき」というガイドラインです。
2. 「どの管理策を選べば効果的か」という問題への解決策
脅威に対して適切な管理策(附属書A)を選ぶ作業を「厄介」に感じられるのは、一つひとつの脅威に個別の対策を割り当てようとしているからかもしれません。実務を軽量化する「逆引き」のアプローチをお勧めします。
- ベースライン・アプローチの活用:
まず「ギャップ分析対策表」を用いて、JIS Q 27001の附属書Aにある基本的な管理策(バックアップ、ウイルス対策、アクセス制限等)を自社に導入します。 - 「脆弱性」の評価を起点にする:
「リスク = 資産価値 × 脅威 × 脆弱性」です。脅威そのものを防ぐのは難しい(例:地震は防げない)ですが、「脆弱性(対策が未実施であること)」を評価し、それを埋める管理策を割り当てると考えれば、選択すべき対策は自ずと絞られます。
3. リソースを抑えて効果を出す「独自の手法」
今年度中の取得、あるいは限られたリソースでの運用を目指す場合、以下の2つの方法を徹底することをお勧めします。
- 「リスクグループ分析」の徹底した集約:
「1FのPC」と「2FのPC」で管理策が変わらないのであれば、一つのグループ(例:全社PC)にまとめます。資産の種類を減らすことで、検討すべき脅威の回数を劇的に減らせます。 - 管理策の共通化:
「盗難」と「部外者侵入」という異なる脅威に対しても、対策は「入退室管理」という一つの管理策でカバーできることが多いです。脅威ごとに別の対策を考えず、一つの管理策が複数の脅威をカバーしていることを確認する形式にすると、表がスッキリします。
4. 専門家からのアドバイス
リスクアセスメントに「100%の正解」はありません。重要資産に対して「致命的な見落としがないか」を確認することが本質です。
弊社の「リスクマネジメント管理規程」では、資産を保管形態や特徴でグルーピングし、平準化する手順を定めています。まずは類似した資産や脅威をまとめ、「自社にとって絶対に許容できないリスクは何か」という方針に立ち返って、重要度の高いものから対策を確定させてみてください。
多少の不安があっても、一度運用を回し、次年度の「リスクアセスメントの見直し」で精度を上げていくのが、ISMSを形骸化させないコツです。
