セミナー情報セキュリティアセスメントの基礎と実践ガイド|リスクの見える化と改善の第一歩
情報漏洩事件やサイバー攻撃が頻発するなか、そういったセキュリティリスクから身を守るための手段として注目されているのが「セキュリティアセスメント」です。
本記事では、セキュリティアセスメントの基本的な考え方から実践的なフロー、成功のポイントまで網羅的に解説します。 セキュリティアセスメントの実行を検討している担当者はぜひ最後までご覧ください。
・なぜセキュリティアセスメントが重要なのか
・セキュリティアセスメントの全体プロセス
・リスク評価の具体的な方法と指標
・近年重視される評価項目と新たな視点
・セキュリティアセスメントを成功させるポイント
・外部サービスやツールの活用による効率化
・まとめ|セキュリティアセスメントを実施して、組織のセキュリティ体制を強化しましょう
・情報資産の洗い出しに役立つIT資産管理ツールSS1/SS1クラウド
セキュリティアセスメントとは?
セキュリティアセスメントとは、自社の情報資産や運用体制に潜むリスクを可視化し、必要な改善を実施することです。
具体的には、情報資産を取り巻くリスクを特定・分析し、それぞれのリスクレベルを評価するという一連のプロセスを指します。
デジタル化の進展に伴い、組織の情報資産は日々さまざまなリスクにさらされています。さらに、テレワークやクラウドサービスの普及といった時代の変化によって、新たなセキュリティリスクも生まれ続けています。
セキュリティアセスメントは、そうしたあらゆるリスクへ柔軟に対応し、時勢に即した対策を講じるうえで非常に重要な活動の一つです。
組織活動におけるセキュリティアセスメントの意味
セキュリティアセスメントを適切におこなうことは、「情報資産をきちんと管理できている組織だ」という取引先や顧客などからの信頼獲得につながります。さらに官公庁による入札案件では、セキュリティアセスメントの実施を参加要件として指定しているケースもあります。
組織としての信頼性の向上や市場での競争力強化に役立てられるため、セキュリティアセスメントは単なる点検ではなく、大切な経営戦略の一部といえるでしょう。
ISMSとの関係性
セキュリティアセスメントと密接に関係している概念に、ISMS(情報セキュリティマネジメントシステム)が存在します。
ISMSとは、組織として情報セキュリティを確保・維持する仕組みであり、「機密性」「完全性」「可用性」という情報セキュリティの3要素を維持し、継続的な改善をおこなうためのフレームワークです。
セキュリティアセスメントは、この「継続的改善」を実施するにあたってのスタート地点である「調査・評価工程」にあたります。
ISMS認証の取得を目指す場合、セキュリティアセスメントの実施は必要不可欠です。つまり、セキュリティアセスメントを適切におこなうことは、ISMSの構築・維持に大変有効であるともいえます。
なぜセキュリティアセスメントが重要なのか
セキュリティアセスメントは、組織の情報資産を守るための基盤を整える重要な施策です。
特に、以下の点から実施が求められています。
| セキュリティアセスメントが必要な理由 |
|---|
| ・外部攻撃/内部不正から情報資産を保護するため ・信頼性向上につながる基盤を構築するため ・法令順守/ガイドライン対応に有用なため |
理由① 外部攻撃/内部不正から情報資産を保護するため
セキュリティアセスメントを実施することによって、組織内に潜むさまざまなリスクに対応できるようになります。
ランサムウェアに代表されるような外部攻撃だけではなく、内部関係者による不正や人的ミスにまつわるリスクについても洗い出せるため、あらゆるシーンで想定されるセキュリティ事件・事故の防止につなげることが可能です。
理由② 事業継続・信頼獲得につながる基盤を構築するため
セキュリティアセスメントは、組織のセキュリティ体制の基礎を固めるのに役立ちます。情報漏洩などのリスクに対しきちんとした基盤を整えられていることは、取引先・顧客などからの信頼に直結するため、組織としてのブランド価値向上に貢献するでしょう。
そして先述の通り、セキュリティに関する信頼性の確保は、市場競争力の強化に通じるというメリットもあります。
またリスクを適切に評価し、効果的な対策を事前に定めておけば、万一のセキュリティ事故の際にも迅速に対応することが可能です。
インシデントに対するいち早い対応・復旧は事業継続の観点からも大切なポイントであるため、セキュリティアセスメントはBCP対策の一部としても有効に作用します。
理由③ 法令順守/ガイドライン対応に有用なため
サイバーセキュリティ基本法や個人情報保護法など、組織として実施すべきセキュリティ対策に関する基準を定めた法律は数多くあります。
また昨今では、業界ごとにセキュリティに関するガイドラインが制定されるケースも増えてきました。
自社のセキュリティリスクを特定・分析することは、これらのコンプライアンス要件を十分に満たしているかを確認するにあたって、決して欠かせないプロセスです。よって、セキュリティアセスメントは法令順守・ガイドライン対応においても有用な活動であるといえます。
セキュリティアセスメントの全体プロセス
セキュリティアセスメントを実施する一般的な手順は以下の通りです。
| セキュリティアセスメントの流れ |
|---|
| ①情報資産の整理と分類 ②脅威と脆弱性の特定 ③リスクの分析と評価 ④対応策の設計と優先順位づけ ⑤結果の記録・改善提案 |
ここからは、それぞれの手順の概要や実務で役立つポイントを解説します。
①情報資産の整理と分類
まずは、組織で保有している情報資産をすべて洗い出します。
ここでいう「情報資産」とは、個人情報などの重要データだけではなく、PCやサーバーなどの情報端末・USBメモリなどの記憶媒体・ソフトウェアなどを含む「情報を取り扱う媒体すべて」のことです。
これらの情報資産を特定していくにあたっては、現場の作業者にも協力してもらう必要があります。日頃の業務フローに則って確認してもらうことで、把握すべき情報資産の抜け漏れを極力防げるようになります。
洗い出した情報資産は、「資産管理台帳」の形でとりまとめましょう。台帳内には「情報資産の格納場所」「主な利用者」「情報の分類(機密/一般など)」といった項目を設け、あとからさまざまな切り口で仕分けできるようにしておくことがおすすめです。
②脅威と脆弱性の特定
各情報資産に対し、攻撃者の目線で「どのような脅威・脆弱性があるか」を検討していきます。
脅威とは「情報資産に対して何らかの損害を与える要因」を指し、脆弱性は「システムに存在する欠陥や弱点」を意味します。つまり、脆弱性のあるポイントを脅威が悪用することで、セキュリティリスクが発生するという仕組みです。
脅威・脆弱性にはそれぞれ3種類あるため、これらの観点からどのようなリスクが想定されるかを、実務担当者の知見も活用しながら考えてみましょう。
| 意図的脅威 | 悪意ある攻撃者による脅威。例)マルウェア攻撃、Webサイト改ざんなど |
|---|---|
| 偶発的脅威 | 内部関係者によるうっかりミスなどの脅威。例)持ち出しPCの盗難、操作ミスによる情報漏洩など |
| 環境的脅威 | 自然災害による脅威。例)台風、地震、火災など |
| ソフトウェアの脆弱性 | 設計ミスやプログラム上のバグ。例)OSのバグなど |
|---|---|
| 運用体制の脆弱性 | 情報の取り扱いや管理体制の不備。例)アクセス権限設定の不備など |
| 環境の脆弱性 | オフィスやデータセンターの立地・設備に関する不備。例)地震多発地帯・停電多発地域など |
③リスクの分析と評価
想定したリスクに対し、「情報資産の重要度」「リスクの発生確率」「脆弱性」の観点から具体的なリスクスコアを算出します。
属人的な判断ではなく、数値による評価をおこなうことで、客観性を重視した分析が可能です。
重要度の評価・発生確率の判定・脆弱性の把握については、次の章でも詳しくご紹介します。
④対応策の設計と優先順位づけ
分析・評価した結果より、以下のアプローチ方法の中から対応策を決定します。
| リスク低減 | リスクの発生率や影響度を抑える。例)セキュリティパッチをあてる |
|---|---|
| リスク回避 | リスクのある運用を変更する。例)USBメモリの使用を制限する、情報資産の持ち出しを制限する |
| リスク移転 | リスクの管理を外部へ委託する。例)保険に加入する |
| リスク保有 | あえて対策をせずに、対応を見送る。 |
注目すべきは、「リスク保有」によって対応を見送るケースもあるという点です。リスクの影響度が小さい・発生確率が著しく低いものについては、対応をしないことも一つの対応になります。
すべてのリスクに対して等しく予算や工数を割けるわけではないため、優先順位をつけて適宜対策を検討することが重要です。
⑤結果の記録・改善提案
一度評価し対策を決定したリスクであっても、時間経過によって実情とあわなくなってくるものです。また、組織の環境が変わったり新たな情報資産を導入するなどした場合は、新しいセキュリティリスクも発生します。
よってセキュリティアセスメントは一度実施して終わりではなく、定期的に見直し、改善を繰り返していかなければなりません。
1年に1度といった頻度で見直しをかけるほか、業務フローが変更になった・セキュリティに関する世の中の動向に変化があったなどのタイミングで、都度改善に取り組むようにしましょう。
リスク評価の具体的な方法と指標
前の章ではセキュリティアセスメントの手順を簡単に説明しましたが、なかでも「リスク評価」はセキュリティアセスメントのなかでもっとも重要なプロセスです。
ここからは、具体的なリスク評価の方法について、もう少し深堀してご紹介します。
| リスク評価の重要ポイント |
|---|
| ・情報資産の重要度を評価する方法 ・脅威の発生確率を判定する方法 ・脆弱性の把握とスコア化 ・リスク値の算出と優先順位づけ |
情報資産の重要度を評価する方法
情報資産の重要度を評価する場合は、情報セキュリティの3要素である「機密性」「完全性」「可用性」の観点から判断していきます。
各情報資産において、3要素それぞれが損なわれた際のリスクを想定してスコアを算出してみましょう。
最終的に、3要素のうちもっともリスクスコアが高い数値を当該情報資産の「重要度レベル」として採用します。
脅威の発生確率を判定する方法
脅威の発生確率は、外部からの攻撃・内部不正・物理的破壊など、さまざまな脅威を洗い出したうえで、過去のインシデントや業界事例に基づいて判定します。
参考までに、代表的なスコアの算出例は以下の通りです。
| スコア3 | いつ発生してもおかしくない |
|---|---|
| スコア2 | 年に数回程度発生する可能性がある |
| スコア1 | 通常の状況で発生することはない |
脆弱性の把握とスコア化
現在組織内で実施している施策を振り返り、特定の情報資産について、適切に管理されている項目を「脆弱性が小さい」、管理が行き届いていない項目を「脆弱性が大きい」と判断し、スコア化していきます。
なるべく客観的な指標を基に判別するため、外部の評価機関から診断を受けたり、IPAが公開しているチェックシートなどを参考にしたりするとよいでしょう。
リスク値の算出と優先順位づけ
ここまでスコアをつけてきた「重要度」「発生確率」「脆弱性」の3点を指標として、最終的にリスク値を算出します。
リスク値が大きいものほど、業務への影響が大きく優先的な対処が求められます。この数値を一つの基準として、各施策の優先順位を定めて対応していきましょう。
近年重視される評価項目と新たな視点
ここまで、セキュリティアセスメントの手順やポイントをご紹介してきました。先述の通り、セキュリティアセスメントでは「セキュリティの3要素」が主な評価基準として採用されています。
しかし近年のセキュリティ対策では、さらに4つの新たな評価軸が登場しているのをご存じでしょうか。最近ではこれらすべてをあわせて、「セキュリティの7要素」と呼ばれています。
真正性(Authenticity)
情報資産にアクセスするシステムや利用者が、明確に本人であると保証することを「真正性」といいます。
いわゆる偽造や改ざんがされておらず、なりすましでないことを評価するものです。
主な対応策としては、電子署名や証明書の管理などが挙げられます。
信頼性(Reliability)
「信頼性」は、システムやプロセスが安定して機能し続けられる性質を意味します。
「一定の条件下で、意図されたとおりの機能を発揮できるか」という観点であり、これを定量的な尺度で判断するための「信頼度」は、「一定期間中に、与えられた条件下で機能を発揮し続けられる確率」を指すものです。
信頼性の確保においては、システム設計段階での厳密なレビューテスト実施や、メンテナンス体制の強化などが求められます。
責任追跡性(Accountability)
誰が・いつ・どのように情報資産へアクセスしたのかを明らかにできる体制の有無は、「責任追跡性」で評価します。
責任追跡性を確保することで、不正アクセスや情報漏洩発生時の原因追及に役立てられます。
ログ取得やアクセス制御の仕組みを構築することなどが主な対策方法です。
否認防止(Non-repudiation)
「否認防止」は、インシデントの原因となった人物が、あとから自らの行為について否定できないようにすることです。
責任追跡性と似ていますが、それぞれ目的が異なっている点に注意しましょう。
責任追跡性は「インシデントの発生源がどこか追跡できるようにしておくこと」を目的としており、一方の否認防止は「操作の事実をあとから否定できないよう、証拠を確保すること」を目指しているという違いがあります。
否認防止の対策としては、デジタル署名やタイムスタンプを利用する、各種ログを改ざん不可能な形で保存するなどが挙げられます。
セキュリティアセスメントを成功させるポイント
セキュリティアセスメントの運用は、情報セキュリティ担当者が手順書通りに実施するだけではなかなか上手くいきません。
実効性を高めるためには、いくつかのポイントが存在します。
組織全体を巻き込んだ取り組みとすること
セキュリティアセスメントの実施にあたっては、現場の従業員まで巻き込んだプロジェクトとすることが非常に重要です。
いま自社内にどのようなセキュリティリスクが存在しているのか、どのような対策が必要なのかを全員で共有し、リスクの排除に取り組める体制をつくりましょう。
そのためには、当然経営者の協力は必須です。セキュリティアセスメントに限らず、セキュリティ対策の成功は「いかにトップダウンで推し進められるか」がカギとなります。
委託先のリスクも把握しておくこと
外部ベンダーや委託先が関わる業務で情報資産を取り扱う場合は、当然それらもリスク評価の対象です。
最近では、委託先や協力会社の脆弱性を踏み台にして本命の攻撃対象へと向かう「サプライチェーン攻撃」も話題となっています。
委託先を選定する際は、契約時にセキュリティ要件を明示したり、第三者の監査結果などを活用したりすることが効果的です。また委託先のセキュリティ対策状況は、契約時だけではなく、契約後も定期的に確認するようにしましょう。
情報資産の把握漏れがないようにすること
情報資産やリスクの洗い出しをおこなう際は、抜け漏れがないかを重々確認しておかなければなりません。ここで漏れがあった場合、重大なセキュリティ事故に発展してしまう可能性があります。
ただし人の手でおこなう作業である以上、完璧に抜け漏れを防止することはなかなか難しいのが現状です。不安な場合は、後述の外部サービスやツール、ベンダーなどを頼ることも検討する必要があります。
外部サービスやツールの活用による効率化
前述の通り、セキュリティアセスメントの工程を自社のみで完結するのには限界があります。
ここでは、セキュリティアセスメントの効率化や作業の抜け漏れ防止に役立つ各種サービス、選定時のポイントを解説します。
外部ベンダーに依頼するメリットと注意点
セキュリティアセスメントを外部ベンダーに依頼したり、評価にあたってツールを利用したりすることには、より客観的な視点からリスク評価をおこなえるという利点があります。
しかし、各サービスの利用には当然費用が必要となるため、各社の実績や対応範囲などを注意深く確認し、自社にとってもっとも費用対効果がよいものはどれかをきちんと判断することが肝要です。
コンサルティング型の支援サービス
セキュリティアセスメント支援のなかでも、比較的手厚いサポートが受けられるのがコンサルティング型サービスです。
専門コンサルタントが伴走し、組織の事情にあわせた対策方法を提案してくれたり、指定した規約やガイドラインの準拠を目的としたリスク評価をおこなってくれたりと、はじめてセキュリティアセスメントを実施する担当者でも安心できる支援内容が揃えられています。
将来を見据えて、セキュリティアセスメントを自社でおこなえるようにするための教育相談などをおこなっているケースもあるようです。
知見のあるコンサルタントが先導してくれるぶん、余計な手間をかけずに最短でリスク分析・評価をおこなえるというメリットがありますが、当然コストがかかることとなります。「セキュリティアセスメントにかける時間と手間」と「サービス料金」を天秤にかけて導入を検討するとよいでしょう。
リスク診断ツール・チェックシート型のサービス
専門のコンサルティングよりもライトな支援を望む場合は、リスクスコアの診断ツールやチェックシートなどのサービスがおすすめです。
自社のセキュリティリスクを自動で診断してくれるSaaSツールなどを利用することで、面倒なリスク分析作業を効率化できるようになります。
また、IPAでは自社でのセキュリティアセスメント実施に役立てられる「リスク分析シート」を無料公開中です。
「リスク評価の判断基準が難しい」「そもそもどういう指標で評価すればよいのか迷う」という方に大変有効なツールであるため、まずは自社で取り組んでみたい際には参考にしてみてください。
まとめ|セキュリティアセスメントを実施して、組織のセキュリティ体制を強化しましょう
セキュリティアセスメントは、情報セキュリティ対策の出発点であり、組織の信頼性や継続性を支える重要な取り組みです。
これは単なるチェック作業ではなく、「組織内に潜む重大なリスクを特定し、セキュリティ事故の発生防止につなげていく大切なプロセスである」と認識する必要があります。
本記事で紹介した手法や評価軸、実施ポイントを参考にして、自社にあったセキュリティアセスメント体制を構築していきましょう。
情報資産の洗い出しに役立つIT資産管理ツールSS1/SS1クラウド
当社が開発・提供しているIT資産管理ツールIT資産管理ツールSS1
/SS1クラウドは、組織のセキュリティアセスメントに役立てられる製品です。
組織内に存在するPCやソフトウェアといった情報資産を漏れなく管理できることはもちろん、ログ収集機能によるインシデント発生時の原因特定や、OS更新管理機能による脆弱性対策など、セキュリティアセスメント後に実施する各種対策にもご利用いただけます。
セキュリティアセスメントを効率的に実施したい方、ISMS認証の取得などを目指されている方に有効なツールです。各機能の詳細は、下記のページをご参照ください。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
