Web教材一覧法規・基準

ISO 31000(JIS Q 31000)
リスクマネジメント−原則及び指針

キーワード

ISO 31000、JIS Q 31000、リスクマネジメント、リスクアセスメント、リスク特定、リスク対応、リスク分析、リスク対応、リスク受容(保有)、リスク回避、リスク移転(転嫁)、リスク軽減(低減)、リスク活用、リスク共有、リスク強化、残留リスク、リスクコントロール、リスクファイナンス、物理的セキュリティ対策、技術的セキュリティ対策、人的セキュリティ対策、組織的セキュリティ対策、SPD、UPS、ゾーニング、入退室管理、クリアデスク、クリアスクリーン


リスクマネジメントの分野では、 JIS Q 31000 と JJIS Q 27000(ISMS規格)は、整合性を持ち、双方での記述があります。ここでは、その分野を本章にまとめています。また、リスクの定義や情報セキュリティの要素(機密性、完全性、可用性など)のような基本的事項は、ここでは省略しています。

ISO 31000(JIS Q 31000):リスクマネジメント−原則及び指針

リスクマネジメントに関するガイドラインのような位置づけです。
 JIS Q 31000は、国際標準であるISO 31000に基づいて作成されました。日本では阪神・淡路大震災を契機にJIS Q 2001(リスクマネジメントシステム構築の指針)が策定していましたが、廃止されJIS Q 31000になりました。

  序文
  1. 適用範囲
  2. 引用規格
  3. 用語及び定義
  4. 原則
  5, 枠組み
    5,1 一般
    5,2 リーダーシップ及びコミットメント
    5,3 統合
    5,4 設計
    5,5 実施
    5,6 評価
    5,7 改善
  6, プロセス
    6,1 一般
    6,2 コミュニケーション及び協議
    6,3 適用範囲,状況及び基準
    6,4 リスクアセスメント
    6,5 リスク対応
    6,6 モニタリング及びレビュー
    6,7 記録作成及び報告

IEC/ISO 31010 JIS Q 31010 リスクマネジメント―リスクアセスメント技法

JIS Q 31000の支援規格であり,リスクアセスメントのための体系的技法の選択及び適用に関する手引を提供するものです。
  1. 適用範囲
  2. 引用規格
  3. 用語及び定義
  4. リスクアセスメントの概念
  5, リスクアセスメントプロセス
  6. リスクアセスメント技法の選択
    6.1 一般
    6.2 技法の選択
    6.3 資源の可用性
    6.4 不確かさの性質及び程度
    6.5 複雑性
    6.6 ライフサイクルの諸フェーズでのリスクアセスメントの適用
    6.7 リスクアセスメント技法の種類
  附属書A(参考)リスクアセスメント技法の比較
  附属書B(参考)リスクアセスメント技法
  解 説

この文書の「読みどころ」は附属書です。ブレーンストーミング、デルファイ法、モンテカルロシミュレーションなど約30の技法が紹介され、どのような用途に適するかを示しています。

ISO/TR 31004 リスクマネジメント-ISO 31000実施の手引

現在組織で適用しているリスクマネジメント(ISMSなど)を、その組織の特徴に合わせた方法で、ISO 31000に矛盾しないように移行させるための体系的なアプローチを提供するものです。


情報セキュリティマネジメント

リスクマネジメントの枠組み

枠組みとは、リスクマネジメントプロセスを効率的・効果的な実践を支援するフレームワークのことです。
 他のビジネスマネジメントと同様に、経営者の強いコミットメントのもとで、全社的な継続的改善活動として、PDCAサイクルにより運用することが求められます。
 従来は、リスクマネジメントプロセスにおけるPDCAサイクルが主でしたが、JIS Q 31000 では枠組みにおいてもPDCAが重要だとしています。
    指令及びコミットメント
       ↓ ↑
  ┌→P:設計
  │ D:実施 ←─→ リスクマネジメントプロセス
  │ C:評価      └(ここでもPDDCA)
  └←A:改善(適応、継続的改善)

リスクマネジメントのプロセス

情報セキュリティマネジメントは次の順序で進められます。

          ┌─────┐
   コ⇔適用範囲状況及び基準⇔モ
   ミ      ↓     ニ
   ュ  ┌リスク────┐ タ
   ケ  │ アセスメント│ リ
   |  │       │ ン
   シ  ⇔ リスク特定 ⇔ グ
   ョ  │   ↓   │ 及
   ン  ⇔ リスク分析 ⇔ び
   及  │   ↓   │ レ
   び  ⇔ リスク評価 ⇔ ビ
   協  └───↓───┘ ュ
   議  ⇔ リスク対応 ⇔ |
          └─────┘

  ・リスクの特定(何を何から守るのかの列挙)
  ・リスクアセスメント(優先順位の決定)
  ・リスク対応(どのような対処をするのか)
  ・情報セキュリティ対策(具体的な対策)

リスクアセスメント(risk assessment)

リスクの重要性を評価するために目安とする条件をリスク基準といいます。
 リスクアセスメントでは、リスク基準により、リスク特定→リスク分析→リスク評価を行い、何を何から守るのか、優先順位の決定を行い、「リスク対応」へと進みます。

リスク特定(risk identification)

リスクを発見,認識及び記述するプロセス。現況に即した,適切で最新の情報が重要です。
一つ以上の目的に影響するかもしれない不確かさを特定することがあります。
リスク源が組織の管理下にあるか否かを問わず,リスクを特定することが望ましい。

リスク特定の対象と脅威の例示

(ISOやJISでの例示ではありません。)

軽いリスクも余さず発見・認識すること、包括的な一覧を作成することが極めて重要とされています。この段階で特定されなかったリスクは、その後の分析の対象から外れてしまうからです。

リスク分析(risk analysis)

リスクの特質を理解し,リスクレベルを決定するプロセス。
リスク分析の意義は,必要に応じてリスクのレベルを含め,リスクの性質及び特徴を理解することです。リスク分析には,不確かさ,リスク源,結果,起こりやすさ,事象,シナリオ,管理策及び管理策の有効性の詳細な検討が含まれます。
大きな不確実性、意見の不一致などに関しては文書化し意思決定者に伝達します。

リスク評価(risk evaluation)

リスクの発生確率と発生時の被害からリスク基準を定義しておきます。
個々のリスクの大きさを評価し、受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較します。


リスク対応(risk treatment)

リスクに対処するための選択肢を選定し,実施することです。リスク対応の選択肢の選定、リスク対応計画の準備及び実施などのプロセスです。

(以下の事項は、JIS本文では直接な記述はありません。)
一般に、リスク対応として、リスク受容(保有)、リスク回避、リスク移転(転嫁)、リスク軽減(低減)の4つが挙げられています。

リスク受容(保有)
管理策を講じない、起こっても仕方がないという対応。想定したリスク値が受容できる範囲内である、または、リスク対策コストが高く対応を講じることができない場合に適用する。
社外とのメール交換を認める、想定値以上の地震対策はしないなど
受容されたリスクは,モニタリング[監視]及びレビューの対象となる。

リスク対応で「保有」の方策が採られたものや、リスクアセスメントによって特定できていないものなど、リスク対応の実施後も何の対策も立てられずに組織内に内在しているリスクを残留リスクといいます。

リスク回避
リスクの発生する可能性のある環境からの回避を中心に、保管中漏えいのリスクをもつデータの廃棄・隔離(リスク軽減が確率減少なのに対してリスク回避は確率を0にする)
リスクの高い事業・業務からの撤退、個人情報をネットワークから隔離など
リスク移転(転嫁)
保険加入により、インシデント発生時の損失補填。業務の外部委託によるリスクの委託先への移転など
リスク軽減(低減)
リスクがインシデントになる確率を下げること、あるいは、インシデントになったときの損失を最小限に抑えることにより「リスクの大きさ」を小さくするために、情報セキュリティ対策(後述)などの管理策を講じること。
ウイルス対策ソフトの導入、従業員へのセキュリティ教育など

機会リスクへの対応

上の4つはセキュリティすなわち脅威の視点ですが、リスクには機会(好機)の視点もあります。PMBOKでは、次のように分類し、それぞれの対応戦略を示しています。

  脅威への対応 機会へのリスク
    回避     活用   機会を確実にするために不確実性を除く
    転嫁     共有   アウトソーシングの考え方
    軽減     強化   好機の発生確率を上げる
    受容     受容   脅威・機会の両方がある

リスク対策には、事前対策及び事後対策、更に事後対策は緊急時対策及び復旧対策に分類されますが、JISQ31000 においてはリスクを組織が達成目標とするものに影響を与える可能性があるものと捉えているため、事後対策は除外されています。

リスクコントロール、リスクファイナンス

リスク対応を、リスクコントロールとリスクファイナンスに分類することもあります。

リスクコントロール

リスクコントロールとは、大きなリスクになるのを防ごうとすることです(発生確率の低減、発生時損失の低減)。

回避
リスクが起こりそうな状況を避けることです。損失制御(低減)とは異なり発生確率を減らすのではなく、0にすることが目的です。トラブルを避けるためにSNSを開設しないとか、重要な情報を取扱っているコンピュータを社外インターネットとは完全に切り離すなどがこれにあたります。
損失制御(低減)
リスクがインシデントになる確率を下げること、あるいは、インシデントになったときに損失を最小限に抑えること。ファイアウォールの設置により不正アクセスを防止することや、ウィルス感染になったパソコンをネットワークから隔離することなどがあたります。情報セキュリティ対策を狭くとらえれば損失制御になるともいえます。
分離
損失の対象を分離することにより、インシデントが発生する確率は大きくなるが、インシデントの影響を小規模に抑えることができます。1台のサーバに多様な機能を持たせるとダウンしたときの影響が大きいので、多数のサーバで分担することなどがあたります。損失の期待値は同じですが、一度の損害が小さいので扱いが容易になります。
結合
逆に類似のリスクをまとめることにより管理を容易にすることです。たとえば、分散している多くのサーバを情報システム部門に集中設置することにより、専門家による管理を行うことができます。これも損失の期待値を減らすものではありません。

リスクファイナンス

リスクファイナンスとは、インシデントが発生したときの大きな経済的損失を補填することです。当然そのための費用はかかるし、その費用のほうが高いのがむしろ通常ですし、すべての損失を補填するとはかぎりません。これらは、通常の情報セキュリティ対策の補完的な位置づけであるといえます。

保険
もっともわかりやすいのは保険です。これは説明の必要はないでしょう。災害による情報システムの被害に対する保険や個人情報漏洩に対する保険など情報セキュリティ関連の保険もあります。
保有
インシデントが起こったときのために引当金や積立金を設定しておくこと。受容リスクとして諦めるのも広い意味での保有であるといえます。
移転(転嫁)
損失を他人の責任にすること。たとえば、サーバの運営をアウトソーシングすることにより、サーバにインシデントが発生したとき、社外への責任は免れないとしても、インシデントそのものの損害を業者に移転することができます。
回避が業務をやめるのに対して、移転は業務そのものは行うが他者に実行させる違いがあります。

情報セキュリティ対策(リスク低減策)


モニタリング及びレビュー

モニタリング及びレビューの意義は,プロセスの設計,実施及び結末の質及び効果を保証し,改善することです。プロセスの全ての段階で行うことが望まれます。