ISMSの資産価値の算出方法は?機密性・完全性・可用性を足すと資産価値になりますか?
資産価値の算出方法がよくわからないので教えてほしいのですが、いくつか方法があるのでしょうか?
機密性、完全性、可用性 を足した物が 資産価値になるのでしょうか??
正しい算出方法を教えてください。
情報資産の価値評価(資産価値)の算出方法について回答申し上げます。
ISMSの情報資産の価値評価において、「機密性・完全性・可用性を足し合わせる」という考え方は一見分かりやすいのですが、ISMS(ISO/IEC 27001)の実務においては、それらを個別の要素として評価することが極めて重要です。
1. 資産価値の評価は「足し算」ではなく「レベル分け」
サンプル文書「リスクマネジメント管理規程」では、算出(計算)ではなく、各要素を独立して4段階のランク(1〜4)で評価する手法を採用しています。
- レベル分け(1〜4段階):
各要素に対し、影響の大きさをランク付けします。- 機密性(C): 漏洩した場合の影響範囲(例:4=極秘、1=公開)
- 完全性(I): 正しく動作しない・改ざんされた場合の影響(例:4=非常に高い、1=低い)
- 可用性(A): 必要な時に使えない場合の影響(例:4=非常に高い、1=低い)
- 独立した評価: 機密性は高くても可用性は低い、といった資産ごとの「性質」を正しく捉えます。
このように要素を分けて評価することで、例えば「漏洩のリスクは極めて高いが、公開情報なので可用性の優先度は低い」といった、資産ごとの特性を明確にすることができます。
2. なぜ「足し算」は推奨されないのか
各要素を足してしまうと、情報資産が持つ特有のリスクが埋没してしまうからです。
【例:合計値が同じ場合の落とし穴】
・極秘データ(C:4, I:1, A:1)合計6: 対策の重点は「暗号化やアクセス制限」
・公開システム(C:1, I:1, A:4)合計6: 対策の重点は「冗長化やバックアップ」合計値だけで管理すると、本来行うべき対策の方向性が分からなくなってしまいます。
合計値が同じだと、対策の優先順位を見誤る可能性があります。ISMSでは、「何を、どのような脅威から守るか」を決定するために、要素ごとの評価値を「情報資産台帳」に個別に記録することが推奨されています。
3. リスク分析への繋げ方
決定した個別の評価値は「情報資産台帳」に記録され、各要素(C, I, A)のランク、脅威のランク、脆弱性のランクを掛け合わせる(または最大値をとる)ことで、より実態に即した「リスク値」を算出します。
リスク値=資産価値(機密性、完全性、可用性)×脅威ランク×脆弱性ランク
組織として許容するリスクと許容できないリスクに分類するため、算出したリスク値に対する受容レベルを決定します。
受容レベル内にリスク値がある情報資産は、現状の管理を受容し、追加の管理策をとらない。なお、リスク対応の管理策を不要としリスクを受容する。
算出(計算)することよりも、組織にとっての「重要度をランク付けする」という意識で取り組むことが、ISMS認証取得においても有効なアプローチとなります。
4. 最後に
より詳細なガイドラインについては、JIPDEC(日本情報経済社会推進協会)が公開している「リスクアセスメントのガイド」などが非常に参考になります。
サンプル文書は、こうした最新のJIS Q 27001:2023(ISO/IEC 27001:2022)の附属書Aの考え方とも整合性が取れるよう設計されています。
本回答が、組織における精度の高いリスクアセスメントの一助となれば幸いです。
