リスクアセスメントで失敗しないために

セキュリティポリシーを策定する際に、各企業が一番手間暇をかけ、そして一番悩むフェーズがリスクアセスメントです。リスクアセスメントでは、情報資産を洗い出し、脅威とぜい弱性を考慮してリスクを評価します。それらのリスクに対して受容するか、対策をとるかを決めていくことになります。ここでポイントとなるのが、リスクのどこまでを受容し、どこからは対策をとるかという基準です。ところが、この基準がいい加減だったりあいまいだったりすると、リスクアセスメントの結果、とるべき対策が厳しくなりすぎてしまい、経営層や全社の合意が得られないことになりかねません。最悪リスクアセスメントを一からやり直しなどという事態に陥ることも・・・このようなことにならないためにはどうすればよいのでしょうか。

経営層とセキュリティポリシー策定チームとのギャップ

リスクを許容する基準を決めるのは経営層になりますが、経営層からすれば、どのようなリスクがあるかが洗いを評価した後でなければ、実際にリスクをどの程度までなら許容できるかといった重要な決断はできないというのが事実です。しかも、一般的にはセキュリティの技術的な側面というのは経営層にとっては未知の領域ですので、リスクが残っているときの恐怖心は、技術者の感覚とは大きく異なります。そのため、極力リスクを避けたいという心理が通常の判断基準以上に増長されてしまいます。一方、費用対効果については厳しい目線を保っているため、リスクを避けるための対策コストが想定以上である場合には、当然承認できません。

そのためポリシー策定チームは、大きな混乱をきたすことが少なからずあります。このチームからしてもセキュリティーポリシーを作るのに慣れているわけではないので、自分たちのリスクアセスメントに確固たる自信はありません。ある対策案に対してこれで本当に大丈夫なのかと経営層から問われれば、大丈夫ではありませんと回答するでしょう。経営層はここで不安が増幅されてしまいます。でも、チームを責めることはできません。セキュリティ対策に100％はないのです。本当に大丈夫な状態に近づけようとすると、設備投資が必要だったりプロセスが重くなってしまったりするのでコストは膨らんでいきます。これは経営層にとってもポリシー策定チームにとっても好ましいことではありません。こうなってしまうと、経営層とポリシー策定チームは対策とぜい弱性とコストの三角関係からなる無限ループ状態に陥ってしまいます。

ギャップを埋めるカギ

こうしたやり取りの根底にある根本要因は何かというと、共通の目的意識あるいは優先順位が置き去りになってしまうからです。本来セキュリティポリシーを策定しようと決定した場合、経営層には明示的か暗示的かはともかく、何らかの背景なり優先順位があったはずです。それが、ポリシー策定チームにはISMSの認証取得が目的であるかのように伝わってしまうことがよくあります。しかし、ISMSの認証取得をしたいというのは本来の目的ではありません。それはあくまでも手段であり、なぜISMSを取得したいかという目的は別のところにあります。その目的がはっきりと見えてこないと、ポリシー策定チームは経営的な要求と、ISMSの要求事項に翻弄され、ゴールを見失ってしまうのです。経営層はセキュリティポリシー策定のプロジェクトを立ち上げる際には、目的とゴールをプロジェクトチームにはっきりと伝えるようにしなくてはなりません。

ISMS認証取得の真の目的とはなにか

とはいえ、セキュリティポリシー策定の目的は意外と表層的に捉えられがちです。個人情報保護法対策、ブランディング、チェーンプレッシャー（顧客や関連企業からの要請）への対策などは、ISMS認証取得の目的としてよく耳にしますが、組織の目的からすると実は真の目的とは言えません。いや、ある一面では確かに目的なのですが、それでセキュリティポリシーが適用される全スタッフを納得させ、動かすには弱いと言わざるを得ません。もっともっと深い真の目的が組織にはあるはずなのです。

その目的さえ捉えられセキュリティポリシーを適用しようとする組織にアナウンスできれば、間違いなく組織全体から合意を得られるでしょうし、セキュリティポリシーを策定するチームも迷いなくリスクアセスメントを遂行できます。無駄な対策は不要となり、コストも下がります。では、どうすれば真の目的を定義できるのでしょうか。

情報セキュリティの目標と原則を定義する

真の目的を定義するためには、目的を掘り下げていけばいいのですが、最終的に行き着くのは「価値がある情報を脅かす存在がどこにいるのか」ということになります。それは営利目的の個人かもしれませんし、競合企業かもしれません。あるいは社内の従業員によるミスかもしれません。貴社の情報資産の利害関係者（特に敵は誰なのか）を見渡し想像力を働かせれば、さほど苦労せずとも貴社の情報資産が脅かされる場面が想定できると思います。ぜひここを出発点としてセキュリティの目標と原則を定義して、全社で共有してみてください。

そうすれば、対策が甘すぎないか、厳しすぎないか、コストを掛けすぎていないかなどを判断するのは容易になります。仮に迷ったときにはこの原点に立ち返れば大きなヒントを与えてくれます。

実は、このことはISMSの参考書ともいうべきJIS X 5080「情報セキュリティ実践のための規範」 3.1.1 b)でも、情報セキュリティ基本方針には「情報セキュリティの目標及び原則を指示する経営層の意向声明書」を含むことが望ましいと謳っています。あまりにもあっさりと書かれているため、見過ごされてしまいがちな一文なのですが、私は非常に重要なプロセスだと考えています。

これからISMSに取り組む企業様や、今まさにリスクアセスメントでお悩みの方は、組織の目標や原則を一度じっくり検討する機会を設けてみてはいかがでしょうか。