重要資産の基準「資産価値≧4」は規格の決まり?可用性が含まれない理由とは?
「3.2 資産の評価」の「(3)価値の決定」に、”機密性、完全性の資産価値が≧4の場合その資産を「重要資産」とする。”とありますが、4以上というのはISMSで決まっている数値なのでしょうか。
何でもかんでも重要資産となってしまいそうで、5や6以上としたいのですが、そうしてもよいものてしょうか。
また、青線部は自由に設定とのことてすが、リスクマネジメント管理規程の6P(3)価値の決定の例において、“機密性、完全性の資産価値が≧4の場合”とあり、ここに可用性が入っていない理由は何でしょうか。
資産評価における基準値の設定、および可用性の取り扱いについて回答申し上げます。
結論から申し上げますと、「重要資産」とする基準値や評価要素(CIA)は、規格で一律に定められているものではなく、貴社の事業内容やリスクの考え方に合わせて柔軟に変更して問題ありません。
1. 重要資産の基準値設定について
サンプルにある「4以上」という数値は、あくまでサンプル文書における一つの例示であり、ISMS規格上の規定ではありません。組織の「リスク受容基準」に基づいて自由に設定可能です。
- 基準の引き上げ:
全ての資産を重要としてしまうと、管理工数が膨大になり、真に守るべきものへの対策が疎かになるリスクがあります。そのため、基準を「5以上」や「6以上」に引き上げ、管理対象を適正化することは、ISMSの「効率的な運用」という観点からも非常に有効なアプローチです。 - 審査対応:
基準値を変更した際は、なぜその数値にしたのか(例:上位20%の資産を重点管理するため、など)という根拠を明確にしておくことが、審査時の説明において重要となります。「管理の有効性を高めるために、よりリスクの高い資産へリソースを集中させる基準とした」と説明できれば、審査上も全く問題ありません。
2. 可用性(Availability)の扱いについて
サンプル規程の例で「機密性・完全性」のみを挙げているのは、多くの一般企業において「情報の漏えい(機密性)」や「データの改ざん(完全性)」が、事業停止(可用性)よりも法規制や社会的信頼への影響が甚大であると想定したモデルケースであるためです。
- 事業特性による判断:
即応性が求められるサービスやインフラに関わる業務であれば、可用性は極めて重要な要素となります。可用性を重要資産の判断基準に含めるべきです。 - カスタマイズの推奨:
貴社の実情において「ダウンタイムによる損失」が大きいのであれば、可用性を基準に含める、あるいは可用性の配点を高くするなどの調整を行ってください。
例が少し極端ですが、以下のような考え方もできます。
軍事関係や原子力関係などの国家機密に関わる仕事をしている会社であれば、可用性よりも機密性や完全性に重きを置くことが適切であると考えられます。
逆に、報道関係や救命関係などの即応・迅速性を求められる仕事をしている会社であれば、機密性よりも可用性や完全性に重きを置くことが適切であると考えられます。
インフラ提供、リアルタイムのデータ配信など、「システムが止まることが致命的な損失につながる」性質のものであれば、可用性を重要資産の判断基準に含めるべきです。
3. 運用のポイント
最新のJIS Q 27001:2023では「組織の状況」を重視しています。一律の基準に従うのではなく、以下の視点で自社ルールを確立してください。
- 「何を守るべきか」の再定義:
自社にとっての致命的なインシデントは何かを起点に基準を決める。自社にとって「漏えい」「改ざん」「停止」のうち、どれが最もビジネスにダメージを与えるかを再整理します。 - 整合性の確保:
規程に定めた評価方法と、実際の資産目録の評価結果が一致していることを確認する。基準値を「5」や「6」に仮設定し、主要な資産が正しく「重要資産」として抽出されるか、また決定した数値を規程に反映させ、次の内部監査やマネジメントレビューでその妥当性も確認しましょう。
規格は「組織に最適な方法でリスクを管理すること」を求めています。サンプル規程をベースにしつつも、貴社の実情に合わせた「納得感のある基準」へカスタマイズしていただくことをおすすめします。
