Written by 夏野ゆきか
目 次
セキュリティアセスメントとは、企業が保有する情報資産に対し、潜在的な脆弱性やリスクを特定・評価し、適切な対策を講じるプロセスです。
一般的に、以下のような流れで行われます。
- 情報資産の定義・分類
- リスクの特定
- リスクの分析・評価
- リスクの優先順位付け
- 対策の見直しや改善
セキュリティアセスメントでは、情報資産管理台帳を作成し、保有する情報資産を正確に把握・分類した上で、各資産のリスクを特定することが重要です。特定したリスクは、「重要度」「発生確率」「脆弱性」の3要素で評価し、リスク値を算出。その結果をもとに、優先順位を決定し、適切なセキュリティ対策を講じます。
セキュリティアセスメントを実施することで、以下の点を可視化します。
- 想定される脅威とその発生確率
- 脅威が発生した場合の影響範囲と深刻度
これにより、組織の情報セキュリティを強化し、インシデントを未然に防ぐことが可能となります。この記事では、セキュリティアセスメントの必要性や実施時の流れ・ポイントなどを解説します。
▼この記事を要約すると
- セキュリティアセスメントとは、企業が保有する情報資産に対し、潜在的な脆弱性やリスクを特定・評価するプロセス
- ISMS認証を取得するための要件の一つに、セキュリティアセスメントの適切な実施が含まれている
- セキュリティアセスメントを実施する際は、「情報資産を漏れなく抽出する」「委託業者も含めてセキュリティアセスメントを行う」ことが重要
セキュリティアセスメントとは?
セキュリティアセスメントとは、組織が保有する情報資産に対する潜在的な脆弱性やリスクを特定・評価するプロセスを指します。
情報システムやデジタルデータのみならず、工場やプラントなどの制御システム(OT:Operational Technology)も対象とすることが一般的です。
セキュリティアセスメントを実施することで、以下のような項目を把握できます。
- 想定される脅威、およびその発生確率
- 脅威が発生した際の影響度と被害範囲
リスクの可視化が進めば、既存のセキュリティ対策の強化や改善が可能となり、結果としてインシデントの発生を未然に防ぐことにつながります。
セキュリティアセスメントはISMS認証の取得にも必要
セキュリティアセスメントは、情報資産の保護を目的とするだけでなく、ISMS認証の取得においても重要な役割を果たします。
ISMS(情報セキュリティマネジメントシステム)とは
ISMSとは、組織が情報資産を適切に管理し、継続的な改善を行うための枠組みです。ISMSの運用により、組織は以下のようなメリットが得られます。
- 第三者機関によるセキュリティ管理体制の適正性の証明
- 情報漏洩やサイバー攻撃のリスク低減
- 事業継続性の向上
- 取引先や顧客に対する信頼性の確保
ISMS認証の取得には、セキュリティアセスメントの適切な実施が要件の一つとされています。
ISMS認証におけるセキュリティアセスメントの役割
ISMSのフレームワークでは、組織が保有する情報資産に対し、リスクを特定・評価し、それに対する管理策を策定・実施することが求められます。このプロセスにおいて、セキュリティアセスメントはリスクの洗い出しと適切な対策の決定を行う上で不可欠です。
適切なセキュリティアセスメントを継続的に実施することで、組織は最新の脅威に対応したセキュリティ強化を行い、ISMSの有効性を維持することが可能となります。
セキュリティアセスメントを実施する流れ
セキュリティアセスメントは、一般的に以下のような流れで行われます。
- 1. 情報資産の定義・分類
- 2. リスクの特定
- 3. リスクの分析・評価
- 4. リスクの優先順位付け
- 5. 対策の見直し・改善
ここでは、セキュリティアセスメントを実施する流れについて解説します。
1. 情報資産の定義・分類
セキュリティアセスメントの第一歩は、組織内の情報資産を正確に把握し、分類することです。情報資産には、以下のようなデジタルデータおよび物理的資産が含まれます。
- デジタルデータ:契約書類、顧客データベース、業務ノウハウ、業務システム
- 物理資産:業務用デバイス(PC・スマートフォン)、物理文書、IoTデバイス
これらの資産は、保存形態によってリスク特性が異なるため、適切な分類が必要です。情報資産管理台帳を活用し、以下の項目を詳細に記録します。
- 情報の種類(機密情報、一般情報など)
- 保存方法(オンプレミス、クラウド、紙媒体)
- 保管場所(社内データセンター、クラウドサーバー、オフィス)
情報資産管理台帳とは、企業や組織が保有する重要な情報資産を一元的に管理するために作成するリストのことです。これにより、セキュリティリスクの把握と管理を容易に行うことができます。
2.リスクの特定
情報資産を整理した後、それぞれの資産に対するリスクを特定します。情報セキュリティの基本要素である「機密性」「完全性」「可用性」の観点からリスクを洗い出します。
それぞれの概要は以下の通りです。
- 機密性:権限のない者に情報が漏洩しないか(不正アクセスの可能性)
- 完全性:データ改ざん・破損のリスクはないか
- 可用性:システムやデータが常に利用可能か(障害や攻撃による停止リスクの可能性)
リスクの特定には、二つの主要なアプローチがあります。
一つは資産ベースのアプローチで、作成した情報資産管理台帳をもとに、各情報資産に対して想定されるリスクを網羅的に洗い出す方法です。
もう一つは、業務プロセスに着目し、日常の業務フローの中で発生しうるセキュリティ上の脅威を特定する方法です。
これらのアプローチを組み合わせることで、包括的なリスク評価が可能になります。
3.リスクの分析・評価
特定したリスクに対し、その深刻度と発生可能性を分析し、優先順位を決定します。リスク評価の基準として、以下の3つの観点を考慮します。
- 重要度:企業・組織にとって、その情報資産がどれほど重要か
- 発生確率:リスクが現実化する可能性
- 脆弱性:脆弱性がどの程度、管理・対策されているか
すべてのリスクを網羅的に対策することは現実的ではないため、業務に影響を与える可能性が高いリスクを優先的に評価し、対策を検討することが重要です。
4.リスクの優先順位付けと対応策の選定
セキュリティアセスメントの結果、多くのリスクが特定されますが、すべて同時に対応することは困難です。そのため、ビジネスに与える影響の大きさと発生確率を考慮し、優先順位をつけて対応することが重要です。
リスク対応には、以下の4つのアプローチがあります。
リスク低減
リスク低減とは、対策を講じることでリスクの発生確率を下げる、または発生時の影響を軽減することを指します。以下のような例があげられます。
- 最新のセキュリティパッチを適用することで、サイバー攻撃のリスクを低減する
- 機密データをネットワーク的に分離することで、情報漏洩の影響を最小限に抑える
リスク回避
リスク回避とは、リスクの発生源を排除することで、リスクそのものをなくす方法です。
- 業務用デバイスの持ち出しを制限し、情報漏洩のリスクを回避する
- USBの使用を禁止し、情報の持ち出しやマルウェア感染リスクを回避する
リスク移転
リスク移転とは、リスクの管理を外部に委託する方法です。
自社のリスク対応コストを削減しつつ、専門的な対策を講じることが可能です。ただし、最終的な責任は自社にあるため、委託先の管理も重要となります。
- サイバー保険に加入し、リスク発生時の被害額を補填してもらう
- リスクのある業務の一部を外部に委託する
リスク保有
リスク保有とは、リスクの影響が小さい場合や発生確率が低い場合に、あえて対策をせず受容することを指します。
- 発生確率が極めて低いリスクについては、コストをかけずに受容する
- 影響が限定的なリスクに対しては、積極的な対策を講じず監視を継続
リスクを保有する場合は、定期的に影響度や発生確率を見直し、適宜対策を講じることが重要です。
5.対策の見直しや改善
セキュリティリスクは、環境の変化や新たな脅威の登場によって常に変動するため、リスクアセスメントを定期的に見直し、必要に応じて対策を更新することが求められます。
また、過去に策定した対策が実際に有効であるかの検証も不可欠です。情報資産の管理が不十分であれば、重要なリスクが見過ごされる可能性があるため、定期的な情報資産の棚卸しを実施し、適切なリスク管理が継続できるようにしましょう。
セキュリティアセスメントは単なる手続きではなく、組織のセキュリティを向上させるための重要な手段であり、継続的な改善・情報資産の保護強化が求められます。
セキュリティアセスメントの評価基準
セキュリティアセスメントにおけるリスク評価は、「1.情報資産の重要度」「2.脅威(脅威の発生可能性)」「3.脆弱性(発生した脅威の受容可能性)」の3つの要素をもとに行われます。それぞれのレベルを数値化し、リスク値を算出することで、対策の優先順位を決定します。
それぞれの評価内容について詳しく見ていきましょう。
1.情報資産の重要度
情報資産の重要度は、情報セキュリティの3要素である「機密性」「完全性」「可用性」に基づいて数値化します。
「機密性」「完全性」「可用性」でそれぞれスコアを算出し、いずれかの最大値で評価します。
| レベル | 機密性 | 完全性 | 可用性 |
|---|---|---|---|
| 1 | 社外公開可 | 社内の一部にのみ影響 | 数日停止しても問題ない |
| 2 | 社内のみ公開可 | 社内全体に影響 | 当日中に使用できれば問題ない |
| 3 | 関係者のみ公開可 | 社内外に影響 | 停止不可 |
「業務用のモバイルデバイス」を例とした、情報資産の重要度は以下の通りです。
- 機密性:3(配布された従業員のみが使用できるべきものであるため)
- 完全性:3(業務データが保存されており、改ざんリスクが高いため)
- 可用性:2(代替デバイスで当日中の業務継続が可能であるため)
上記のようにスコアを算出した場合、機密性と完全性が最大値である「3」なので、重要度は「3」となります。
2.脅威(脅威の発生可能性)
脅威とは、情報資産に損害を与える可能性がある要因を指します。
脅威の発生可能性を1〜3の3段階で評価し、発生頻度に応じてレベルを設定します。
| レベル | クラス | 発生率 |
|---|---|---|
| 1 | 発生率「小」 | 発生する可能性はほぼない |
| 2 | 発生率「中」 | 発生する可能性はあるが、ほとんど起こらない |
| 3 | 発生率「大」 | 頻繁に発生する |
例えば、業務用デバイスに最新のアンチウイルスを導入しておけば、マルウェアに感染するリスクは低くなりますが、全く感染しないというわけではないので、脅威レベルは「2」と言えます。
3.脆弱性の管理状況
脆弱性とは、情報資産が持つセキュリティ上の弱点を指します。管理状況に応じて1〜3の3段階で評価し、適切なセキュリティ対策が講じられているかを判定します。
| レベル | クラス | 脆弱性 |
|---|---|---|
| 1 | 発生率「低」 | 適切に管理されている |
| 2 | 発生率「中」 | 管理方法に改善の余地がある |
| 3 | 発生率「大」 | 管理されていない |
リスク値はこれら三つの要素を掛け合わせることで算出され、対策の優先順位を決定する際の重要な指標となります。
リスク値を社内で用意し、基準値と照らし合わせて対策の可否を決定します。
セキュリティアセスメントを実施する際のポイント
ここからは、セキュリティアセスメントを実施する際のポイントについて解説します。
情報資産を漏れなく抽出する
適切なアセスメントを行うためには、すべての情報資産を正確に把握することが必要です。
見落とされた情報資産は管理が不十分となり、結果としてセキュリティリスクの増大を招く可能性があります。
特に近年では、クラウド環境や外部ストレージの利用が増加しており、オンプレミス環境と同様に、これらの情報資産も適切に管理することが求められます。以下のような情報資産は特に見落とされやすいため、注意が必要です。
- クラウドストレージ:アクセス制御が適切に設定されているか
- 外部ストレージ:データの暗号化やアクセス管理が実施されているか
- シャドーIT:部門や従業員が独自に導入した未承認のクラウドサービスやアプリケーション
情報資産の抽出には、システム管理者や各部門の担当者と連携し、網羅的なリストの作成をするとよいでしょう。また、情報資産の利用状況やアクセス権限を定期的に見直し、最新の状態に保つことも重要です。
委託業者も含めてセキュリティアセスメントを行う
自社だけでなく、外部委託業者のセキュリティ状況も確認が必要です。外部業者が適切な対策を講じていない場合、自社の情報資産が危険にさらされる可能性があります。
例えば、システム開発を外部に委託している場合、開発環境のセキュリティが不十分であれば、脆弱性を含んだシステムが納品される可能性があります。また、顧客データを取り扱う業者が適切な管理を行っていなければ、情報漏洩のリスクも高まるでしょう。
委託業者のセキュリティリスクを低減するためには、契約時や運用時に適切な管理策を講じることが重要です。
- セキュリティチェックシートの提出を義務付け:委託業者に対し、セキュリティ対策の状況を確認
- 契約書にセキュリティ要件を明記:情報管理義務や違反時の対応を明確に定義
- 定期的な監査の実施:セキュリティ対策が遵守されているかを定期的に確認
- 最低限のアクセス権:業務に必要な最低限のアクセス権のみを付与
LANSCOPEエンドポイントマネージャー クラウド版なら
企業の情報漏洩対策、ISMS認証取得の支援が可能
ISMS認証の取得・維持には、組織の情報資産を適切に管理し、セキュリティ対策を継続的に改善するための仕組みが求められます。IT資産の把握やインシデントの監視・対応を手作業で行うのは、膨大な工数とリソースが必要となるため、重要となるのがツール活用による効率化です。
弊社が提供する、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」は、ISMS運用の効率化や情報漏洩対策の強化を支援します。
業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイルデバイスを一元管理し、セキュリティを強化することが可能です。
▼機能の例
- PC・スマホなどIT資産の管理
- USBなど記録メディアの利用制限
- Windowsアップデート管理
- 操作ログの収集による不正操作の抑止やインシデント発生時の原因追及
内部不正対策として欠かせない PCの操作ログは、最大5年分の保存が可能。
またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、簡単に把握できます。
情報漏洩に繋がりそうな従業員の不正操作を早期に発見し、インシデントの発生を防止します。
詳しい機能については、以下のページをご覧ください。
まとめ
本記事では、セキュリティアセスメントの概要、実施の流れ、そして実施時の重要なポイントについて解説しました。
本記事のまとめ
- セキュリティアセスメントとは、企業が保有する情報資産に対し、潜在的な脆弱性やリスクを特定・評価するプロセス
- ISMS認証を取得するための要件の一つに、セキュリティアセスメントの適切な実施が含まれている
- セキュリティアセスメントを実施する際は、「情報資産を漏れなく抽出する」「委託業者も含めてセキュリティアセスメントを行う」ことが重要
適切なセキュリティアセスメントを実施することで、情報資産に潜むリスクを可視化し、既存のセキュリティ対策の強化・改善につなげることが可能となります。結果として、インシデントの発生を未然に防ぎ、組織全体のセキュリティレベル向上に寄与します。
近年、サイバー攻撃の増加・高度化が進む中、セキュリティアセスメントは企業にとって不可欠な取り組みです。継続的なアセスメントを通じて、組織のセキュリティ体制を最適化し、リスク管理を強化していくことが求められるでしょう。
おすすめ記事
