詳細リスクアセスメントとベースラインリスクアセスメント。どちらかをやればいいのか?
リスクアセスメント規程書についての質問ですが、規程書の中のリスクアセスメント体系のページに「詳細リスクアセスメント」「ベースラインリスクアセスメント」というのがありますが、これはどちらかをやればいいのか、どちらもするのかどちらでしょうか?
結論から申し上げますと、弊社のサンプル文書および実務上のスタンダードとしては、これら2つの手法を「併用(組み合わせアプローチ)」することを強く推奨しています。
どちらか一方だけでは、審査で「網羅性が不十分」と指摘を受けるリスクが高まるためです。それぞれの役割と必要性を整理します。
1. 各アセスメントの役割の違い
2つの手法は、それぞれ「見る角度」が異なります。
- ベースラインリスクアセスメント(組織全体の底上げ):
JIS Q 27001附属書Aなどの管理基準をベースに、組織全体として最低限守るべきルール(バックアップ、ウイルス対策、パスワード管理など)が、規定の要求事項に従って実施されているかを評価します。 - 詳細リスクアセスメント(重要資産の深掘り):
特定した情報資産ごとに、機密性・完全性・可用性の観点から評価を行い、個別の脅威や脆弱性を分析します。資産グループごとに、より具体的なリスク値(資産価値 × 脅威 × 脆弱性)を算出するのが特徴です。
2. なぜ「両方」実施すべきなのか?
審査において「どちらか一方で良いか」という問いに対し、大半の審査機関が両方の実施を求める理由は以下の通りです。
- 規格の要求事項への適合:
JIS Q 27001:2023の「6.1.2 情報セキュリティリスクアセスメント」では、リスクの識別、分析、評価を網羅的に行うことが求められています。ベースラインだけでは「自社固有のリスク」が見落とされ、詳細分析だけでは「組織全体の共通ルール」の評価が煩雑になりすぎるため、両者を組み合わせるのが最も合理的です。 - 実務的な効率性:
すべての資産に詳細分析を行うのは膨大な工数がかかります。そこで、「組織全体の基本対策はベースラインで網羅し、特に重要な資産や固有のリスクについては詳細分析で深掘りする」という2段構えにすることで、実効性の高い運用が可能になります。 - 審査指摘の回避:
弊社の経験上、どちらか1つのみの実施だと、審査員から「リスクアセスメントの網羅性に欠ける」として不適合や観察事項の指摘を受ける可能性が非常に高いです。
3. 具体的な運用の進め方
弊社のサンプル文書「ISMS-B06 リスクマネジメント管理規程」では、以下のステップで体系化しています。
- ステップ1:
組織の状況を確定し、情報資産を洗い出す。 - ステップ2:
「ギャップ分析対策表」を用いてベースライン分析を行い、規格要求との準拠性を確認する。 - ステップ3:
「リスクグループ分析対策表」を用いて、資産グループ別の詳細分析を実施し、許容レベルを超えるリスクを特定する。
このように体系図に沿って進めることで、漏れのないリスクアセスメントを効率的に完了させることができます。
まずは、サンプルに収録されている「ギャップ分析対策表」と「リスクグループ分析対策表」をセットで確認してみてください。2つの表を埋めるプロセスそのものが、規格が求める「適切なリスクアセスメント」の証跡となります。
