サイバーセキュリティのリスクアセスメントとは？意味や進め方を紹介

年々件数が増加し、手口も複雑化しているサイバー攻撃。セキュリティ事故のニュースが出るたび、現状のセキュリティ対策が適切なのか不安に感じる方も多いのではないでしょうか。

一方でセキュリティ対策にかかるコストは低くないため、無用な施策を実施して高コストとなるのは避けたいものです。

サイバーセキュリティ対策を過不足なく行うために有効なのが、「リスクアセスメント」です。この記事では、サイバーセキュリティにおけるリスクアセスメントの意味や進め方について解説します。

まずはリスクアセスメントの広義的な意味について見ていきましょう。

リスクアセスメントの意味

リスクアセスメントとは、事業所内にある危険性や有害性を特定し、それらによって起こりえる事象をリスクとして見積もった後に対策の優先度を設定、実際に行うべきリスク低減対策を決定する、という一連の手順のことをいいます。
ここでいう事業所内の危険性や有害性とは、働く人の負傷や病気の原因になる物や状況を指します。リスクアセスメントはいわば、労働者の事故を防止するためのプロセスなのです。

事業者は労働安全衛生法 第28条の2で定められているとおり、リスクアセスメントを実施し、その結果に基づいて対策を講じる必要があります。

リスクアセスメントの指針については、厚生労働省から公開されています。
参考：厚生労働省　危険性又は有害性等の調査等に関する指針
http://www.jaish.gr.jp/horei/hor1-1/hor1-1-56-1-2.html

リスクアセスメントの目的

リスクアセスメントには、大きく分けて2つの目的があります。

1つめは、労働災害を防ぐことです。リスクアセスメントを行うと職場のリスクが明確になり、合理的な方法で優先順位を決められます。ひいては職場全員のケガや病気を防止することにつながります。

2つめは、職場全体で危険やリスクに対する意識が高めることです。リスクアセスメントの一連の手順では、職場のリスクを全員で共有してリスクを排除し、事故防止のためのルールなどを定めることもあります。職場全体でルールを守る意識が生まれれば、より危険に気づけるようになっていくのです。

リスクアセスメントの基本手順

リスクアセスメントのごく基本的な手順は、下記のとおりです。

（１）危険性や有害性を洗い出す

　職場で用いている機械や設備、作業手順や作業環境などについて、危険性や有害性（ハザード）を洗い出します。

（２）危険性や有害性のリスクを見積もる

　（１）で洗い出したすべての危険性や有害性から起こるリスクについて、見積もりを行います。リスクの見積もりは、危険性や有害性に起因するケガや病気の重症度や発生する可能性を元に行います。

（３）リスク対応の優先度に基づいて措置を検討する

　見積もられたリスクに対して、優先度を設定します。優先度は、危険な作業の廃止や改善がもっとも高く、続いて安全装置など物理的な対策、マニュアルなどの管理的な対策の順に低くなります。

（４）措置を実行する

　実際にリスク低減措置を実施します。

サイバーセキュリティにおけるリスクアセスメントは、広義的なものと共通する部分はありますが、少々意味合いが異なります。

サイバーセキュリティにおけるリスクアセスメントは、情報システムの運用で生じるリスクを特定し分析、リスク対策の優先度を設定してそれに準じて対策を行うものです。組織全体に渡るリスクマネジメントを行うための、プロセスの一角を担います。リスクアセスメントの対象は、組織の業務や資産、個人、他の組織や国家です。単に「アセスメント」と呼ばれる場合もあります。

サイバーセキュリティのリスクアセスメントの目的

サイバーセキュリティにおけるリスクアセスメントの目的は、「情報資産を守るため」です。職場の安全や働きやすい職場への改善というよりは、情報システム上のセキュリティ事故防止を目的としています。

情報資産とは、組織内にある取引先や顧客の情報、社外秘、営業機密など組織の運営に関わるデータのことです。セキュリティ事故が起これば、その組織だけでなく、取引先や関連企業、顧客にまで影響を及ぼす可能性があります。したがって、リスクになりえる情報資産を洗い出し、それらのデータが漏えい・喪失したときのリスクを考えることが必要です。

サイバーセキュリティにおけるリスクアセスメントの実施にあたって、いくつか手引きが公開されています。

NIST SP 800-30

NIST SP 800-30は米国国立標準技術研究所（NIST）による文書です。特定されたリスクに対して、適切な行動方針を決定するために必要な情報が提供されています。日本では独立行政法人 情報処理推進機構（IPA）が日本語版を公開中です。
参考：リスクアセスメントの実施の手引き｜NIST
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025325.pdf

ISO/IEC 27001（JIS Q 27001）

ISO/IEC 27001は情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。
ISMSの確立や実施、維持、改善についての規格や情報セキュリティについて定められており、規格の要求事項として、リスクアセスメントがあります。
参考：ISO/IEC 27001（JIS Q 27001）情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項
https://www.jisa.or.jp/it_info/engineering/tabid/1158/Default.aspx

サイバーセキュリティにおけるリスクアセスメントの手法は組織によって異なりますが、基本的な進め方は下記のとおりです。

情報資産の洗い出し・分類およびリスク特定

まずは組織内の情報資産の洗い出しです。情報資産は、サーバーやPC、プリンタなどの機器、記録媒体、ソフトウェアや関連ドキュメント、そして人員も含まれます。情報資産を洗い出した後は、部署や業務、場所といったカテゴリで分類します。

その後はリスクを特定するフェーズです。リスク特定のための方法の1つとして、「ベースラインアプローチ」があります。目指すべき情報セキュリティの水準（ベースライン）を設定し、現状ではこれを満たしているかどうか判定していくものです。

リスク分析

リスクの特定後、さまざまな手法でリスク分析を行います。リスク分析の方法について、デジタル庁ではベースラインアプローチと事業被害のアプローチを組み合わせて分析をする手順を提案しています。

参考：政府情報システムにおけるセキュリティリスク分析ガイドライン～ ベースラインと事業被害の組み合わせアプローチ ～｜デジタル庁
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/1b65a1dc/20230411_resources_standard_guidelines_guideline_01.pdf

リスク評価・対策案の提示

リスク分析に基づいて、対応の優先順位を検討・評価します。評価のための材料としては、リスクの発生頻度や確率、影響範囲などが参考となるものです。その後は優先順に、具体的な対策が検討されることとなります。

サイバーセキュリティのリスクアセスメントは、情報資産の洗い出し1つとっても大変な労力がかかるものです。どこから手を付けたらいいのかわからない……という場合には、リスクアセスメントに関するサービスの活用を検討してみてはいかがでしょうか。

アクセリアが提供している「パケットキャプチャ型セキュリティレポートサービス」では、セキュリティリスクの現状把握を行えます。実際にネットワークで流れている通信から、セキュリティリスクを洗い出します。リスクの洗い出しには、現行システムへの影響が少ないパッシブスキャンという方式を採用。レポートをご提出した後に、セキュリティ対策の実装・運用・効果検証までサポートします。

リスクアセスメントを行うことで、必要な対策が明確になります。セキュリティ対策にまで手が回っていない、現状のリスクが把握できておらず適切な施策が判断できないとお悩みの場合は、まずはレポートの作成をおすすめします。

「パケットキャプチャ型セキュリティレポートサービス」について、詳しくは下記ページをご覧ください。
▶パケットキャプチャ型セキュリティレポートサービス

サイバーセキュリティにおけるリスクアセスメントについてご紹介しました。組織の規模によっては、リスクアセスメントは情報システム管理者に大きな負荷がかかる作業となり、時間もかかってしまいます。外部サービスを用いて専門家とともにポイントを抑えながら進めるのが良いでしょう。