少人数のISMS構築、リスクアセスメントを簡略化できませんか？もっと簡単な手順は？

Q: 少人数のISMS構築、リスクアセスメントを簡略化できませんか？もっと簡単な手順は？

はい、簡略化は可能です。規格は結果の妥当性を求めており、手法を固定していません。資産をグループ化して評価対象を減らす「リスクグループ分析」や、業務フローに基づきリスクを特定する手法、重要な業務以外を簡易的に評価する組合せアプローチが有効です。

Q: 自分の会社組織に適用する管理策は 要求事項 附属書A 各管理策をすべて網羅する必要があるのでしょうか。

いいえ、すべての管理策を適用する必要はありません。自社の事業内容やリスク状況に応じて必要なものを選択します。ただし、選択した管理策と附属書Aを比較し、見落としがないか検証するプロセスは審査をクリアするために必須となるので注意してください。

更新日：2026/03/26 （公開日：2016/09/05）

ISMSサンプル文書集. 5,492 views

※本記事は、ISM Web store が作成・検証したものです。

ISMS構築で1件　ご教授いただけませんでしょうか。

リスクアセスメントの手順、御社の資料で
①　資産の機密性・完全性・可用性　評価　と重要資産の特定
②　脅威洗い出し
③　リスクグループ分析
④　ギャップ分析
⑤　適用宣言書
の手順となっております。

私どものような少人数の組織では、かなりのボリュームになります。

要求事項を見ますと　６．計画　には　あまり細かくは定義されておらず、6.1.2 c) 情報の機密性・完全性・可用性の喪失に伴うリスクを特定するために、リスクアセスメントのプロセスを特定する。
d) 現実的な起こりやすさについてアセスメントを行う。
　　リスクレベルを決定する。
程度の記述だと思います。

従いまして、上記の②③あたりが　どうも　しっくりと来ません。

かなりの力量がないと理解も難しく、もう少し簡略化された方法でも良いのではと感じます。
とは言え、具体的な方法も思い浮かばないのですが。
また、自分の会社組織に適用する管理策は　要求事項　附属書A　各管理策をすべて網羅する必要があるのでしょうか。

6.1.3 d）　は　附属書Aを網羅するようにという事でしょうか。
もしそうであれば、最初から附属書Aをベースにして、自組織での対応状況（重要資産のリスク対応）を書いていけば良いのかとも思います。

ISMS（ISO 27001）の構築において、最も大きな壁となるのが「リスクアセスメント」です。特に少人数の組織では、「手順が多すぎて手に負えない」「もっと簡略化できないのか」という声を多くいただきます。

以下に、ご質問にある5つのステップ（①資産評価・②脅威抽出・③グループ分析・④ギャップ分析・⑤適用宣言書）の必要性と、現実的な簡略化のアイデアについて解説します。

1. なぜ要求事項は「やり方」を細かく指定していないのか？

JIS Q 27001（ISO/IEC 27001）の「6.1.2 リスクアセスメント」を見ると、実は具体的な手法については詳しく書かれていません。

これは、組織の規模や扱っている情報の種類によって、最適なリスク管理の方法が異なるためです。
規格は「結果の妥当性」を求めているのであって、特定のフォーマットを強制しているわけではありません。

2. 「脅威の洗い出し」や「分析」がしっくりこない理由

ご質問にある「②脅威洗い出し」や「③リスクグループ分析」がしっくり感じないのは、「リスク」という目に見えないものを数値化しようとするプロセスだからだと思います。

単に「リスクの特定」といっても、リスクそのものは手に取って認識することは出来ません。本来、リスクは以下の要素の相関関係で成り立っています。

リスク値＝資産価値（機密性、完全性、可用性）×脅威ランク×脆弱性ランク

具体的には、リスクの特定は以下の2つの作業が実施されることになります。

(1) 資産の洗い出し及び評価（資産の評価と重要資産の特定）
(2) 脅威、脆弱性の明確化

ご質問にある「①資産の機密性・完全性・可用性　評価　と重要資産の特定」が上記の(1)に該当することになりますね。
そして「リスクレベル」は、「資産価値」や「脅威」、「ぜい弱性」により決定されることになります。

【参考】脅威と脆弱性とリスクの関係 || ISM Web store 資料集

「脅威（サイバー攻撃や紛失など）」と「脆弱性（対策の不備）」を分けて考えることで、初めて「どこに、どのような対策を打つべきか」という根拠が明確になります。

「②脅威洗い出し」では、上記の(2)に対応するため「脅威一覧表」を作成しています。これは、JIS Q 27001の「5.7 脅威インテリジェンス」にも対応することにもなります。
この「脅威一覧表」をもとに関連する脅威を識別し、それに対して、どのような「脆弱性（「脅威を受けた場合の資産の損失を起こしやすく、かつ拡大させる要因」）」があるかを識別することとなります。

3. 少人数組織で「簡略化」するための3つのヒント

すべてを愚直に行うのが難しい場合、以下の考え方を取り入れることで作業ボリュームを抑えることが可能です。

① リスクグループ分析（資産のグルーピング）

ご質問にある「しっくりと来ない」要因の一つである「③リスクグループ分析」は、実は「簡略化」の方法でもあります。

例えば、個々のファイル（「A社との契約書」「B社への請求書」など）を一つずつ評価するのは現実的ではありません。「同じ場所（フォルダ）にあり、同じように扱うもの」であれば一つのグループ（例：顧客関連情報）としてまとめて評価を行うことで、作業を簡便にすることができます。

「リスク対応が同じになるもの」を一つの単位にすることで、評価の回数を劇的に減らすことができます。

当サンプル文書の「リスクマネジメント管理規程」に示す「分類コード表」のようなやり方が難しいようであれば、例えば、重要度や影響範囲、保管先などの基準によってグループ分けを行っても結構です。

② プロセスベースのアプローチへの転換

「資産（モノ）」ではなく、「業務の流れ（プロセス）」に着目する手法も「簡略化」の方法の一つです。

業務フローを書き出す（受注、納品、請求など）。
各ステップで「何が起きたら困るか（情報漏洩など）」を特定する。
そこに関わる情報を特定する。

この方法だと、普段の仕事のイメージと直結するため、理解しやすくなる場合があります。

③ 組合せアプローチの応用

リスクアセスメントに関しましては、JIPDECより「ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応-　-リスクマネジメント編-」が発行されています。

【参考】ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応–リスクマネジメント編-

ガイドでは、リスク分析の手法として、以下の4つを紹介しています。

ベースラインアプローチ（基準適合アプローチ）
- 組織に適した標準的なセキュリティ管理策のセット（ベースライン）を定め、それに適合しているかをチェックリスト形式で確認します。
- 迅速に評価でき、基本的な管理策の網羅性を確保しやすい。
非形式的アプローチ（簡易アプローチ）
- 組織や担当者の経験や判断によってリスクを評価します。
- 専門家の洞察や現場の実情を反映したリスク特定が可能。
詳細リスク分析（定量・定性分析）
- 資産に対し、価値、脅威、脆弱性などを識別し、リスクの発生可能性や影響度を定量的（金額、頻度）または定性的（高・中・低）に評価する最も厳密な分析手法です。
- 詳細な分析により、リスク対応の優先順位付けや費用対効果の明確化が非常にしやすい。
組合せアプローチ（複合アプローチ）
- 複数の手法を評価対象や目的に応じて適切に併用します。
- それぞれの長所・短所を相互に補完し、作業の効率化や分析精度の向上を図ります。

通常は、「組合せアプローチ」が用いられます。当サンプル文書も「組合せアプローチ」を採用しています。

ただ、すべてのリスクを詳細に分析するのではなく、以下のように手法を組み合わせをすることで、「簡略化」を実現することができます。

重要な業務
「3.詳細なリスク分析」を実施。
それ以外の業務
基準（ベースライン）に適合しているか確認するだけの「簡易アプローチ（2.非形式的アプローチ）」を採用。

ちなみに、「2.非形式的アプローチ」は一番作業負担がなくできるため、この手法だけを使えば良さそうですが、リスクアセスメントは、「リスクアセスメントが，一貫性及び妥当性があり，かつ，比較可能な結果を生み出すことを確実にする。」（6.1.2 b）)とあるため、個人の力量のみに頼ったこの手法だけでは、審査で合格するのは難しいでしょう。