ムダ・ムラ・モレのないリスクアセスメントの方法

ISMSやプライバシーマークの認証取得に取り組むとき、まず立ちはだかるのがリスクアセスメントの壁です。正直言ってとても面倒なフェーズなのですが、これをいいかげんに済ませてしまうと大切な情報資産を見落としてしまったり、重大な脅威や致命的な脆弱性を見落とすことにつながり、形ばかりで効果の低いセキュリティポリシーができあがってしまいます。しかし、特効薬的なツールというものは今のところありません。セキュリティマネジメントを推進する上で乗り越えなくてはいけない壁と認識するしかないようです。

またリスクアセスメントというフェーズは難易度も高く、途中でなんとなくおかしいなあという違和感を感じ始め、脆弱性を洗い出そうとする段階辺りで、やっぱりこれではおかしいということで振り出しにもどるようなことも多いようです。今回のコラムでは、やり直しを最小限にとどめるリスクアセスメントの手法として、漏れのない脅威の洗い出し方を紹介しようと思います。

ありがちなリスクアセスメントの失敗

リスクアセスメントを始めるときにはまず情報資産を棚卸しします。次に、情報資産で重要なものはなにかという重み付けを行います。次に、重要な情報資産に対してリスクを洗い出そうとするのですが、ここに落とし穴が潜んでいます。

例えば、「顧客情報」という情報資産を例に取ると、思いつくリスクは「漏えい」「改ざん」「不正アクセス」などです。ところが、企業における顧客情報はいろいろなところに分散しています。名刺もあれば、従業員のマシンにも蓄積します。見積もり・請求システムなどのDBが存在するかもしれません。

それぞれの顧客情報には個別のリスクが存在し、単に「漏えい」といっても従業員のマシンと見積もり・請求システムではリスクの大きさも脆弱性も大きく違います。本来は、それらすべての顧客情報に対して脅威を洗い出さなくてはならないのですが、このやり方ではまず間違いなく見落としが発生します。

リスクアセスメントは「急がば回れ」

私が推奨する方法は、重要な情報資産を洗い出したあとに情報のライフサイクルを示すプロセスマップを作成する方法です。できれば図などを作って整理しながら進めたいところです。

情報のライフサイクルとは、入手から利用、管理、破棄・返却という大きなプロセスのことです。この大枠のプロセスのなかで情報が誰から誰に渡り、どのように利用・管理され、最終的に破棄・返却まで進んでいくのかを整理していくとリスクが目に付きやすくなります。

顧客情報を例に挙げると、まずは名刺を営業マンが受け取るところから始まります。そして営業マンはまず自分のマシンのメーラーに顧客情報を登録します。続いて見積もり・請求システムに顧客情報を入力し、見積もりを提出します。

実はその後でお客様から発注書をFAXしていただき、それを管理部門でファイリングしていました。その発注書ファイルには顧客情報が含まれていることがわかりました。納品後、管理部門が自分のマシンから見積もり・請求システムにアクセスし請求処理を行います。

また、マーケティング本部がメールマガジンをクライアントに送信していて、その顧客情報は見積もり・請求システムから抽出し、メール配信サーバにインポートして使用していました。名刺の破棄やメール配信サーバの顧客情報の破棄手順は定められていないこともここでわかりました。

という具合に、業務プロセスを考えながら情報資産の流れを把握していくと、情報が思わぬところに分散していたり、なにもルールが定まっていなかったりすることに気づきます。

脅威を検討する際の3つの視点

次に、脅威を洗い出す際には3つの視点を持たなくてはなりません。それは「故意」「偶発」「環境」という視点です。顧客情報に関するリスクを考えてみても、誰かが故意に盗むということもあれば、メール配信システムの偶発的なオペレーションミスもあるかもしれません。見積もり・請求システムがインストールされたサーバのハードディスクが寿命でクラッシュしてしまう可能性もあります。ライフサイクルの各フェーズにおいて、この3つの視点を持ちながらリスクを洗い出してみると、ほとんどヌケのない高精度の脅威リストができあがります。

今回は脅威の洗い出し方について解説をいたしましたが、リスクアセスメントは続いて脆弱性の洗い出しというこれまた難儀なフェーズが待っています。機会があれば、またご紹介したいと思います。