【リスク対策】５．脅威の大きさを見積もる

前回リスクを想定しました。
今回は驚異の大きさを見積もります。

【勉強会テーマ】リスクって何？対策ってどこまでする？
【ケース】寄付関連業務
【対象】 NPOの情シス・NPOの経営者・寄付したことがある人
【ゴール】
・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。
【時間】2時間(うち15分の休憩はさむ)
【アジェンダ】
１．業務フローを書く
２．ステークホルダーを洗い出す
３．情報資産を洗い出す
４．リスクを想定する
５．脅威の大きさを見積もる
６．脆弱性の大きさを見積もる
７．リスク値を計算する
８．対策を考える
９．todoと期日を決める
【前提】
・特定のNPOの事例ではありません。HPを通して寄付を集めて、領収書発行するまでの汎用的な業務フローを想定しています。

前回のおさらい

リスクとは、脅威と、脆弱性に分類できるという話をしました。
そこから、リスクを想定していきました。

今回は、そのリスクが実際に発生した時に、脅威（システム又は組織に危害を与える事故の潜在的原因）はどの程度大きな影響を及ぼすのかを見積もっていきます。

謝罪…

すみません、「【リスク対策】３．情報資産を洗い出す」の「手順４）評価値の入力」ですでに実施していました。
詳しく書きつつ、再掲載します。

前提知識）情報資産の機密性、完全性、可用性とは？

情報セキュリティには3要素あり、機密性、完全性、可用性がそれにあたります。この3要素がしっかりと守れていないとリスクが高まります。

◆機密性：アクセスを認可された者だけが、情報にアクセス
できることを確実にすること
◆完全性：情報および処理方法が正確であること及び完全
であることを保護すること
◆可用性：認可された利用者が、必要なときに、情報及び関連
する資産にアクセスできることを確実にすること

出展：守るべき情報資産・情報リスクの考え方 p.25

タイトル未設定

とは言えすべての情報資産に対してこれらを確保するのは相当しんどいです。
そのため、情報資産ごとに実際に確保できなかったらどうなるの？という想定をし、評価値を入れていきます。

IPAのシートでは、以下の3段階で評価値を決めています。

2点：法律違反につながる、取引先・顧客に深刻な影響がある
1点：事業に影響が出る
0点：ほとんど影響が出る
※点数が高い方が重要度が高い。

各情報資産、保存先ごとに、資産の評価値（機密性、完全性、可用性）を埋めていきます。ここまで埋めると保存先ごとの資産の重要度が決まります。

出展：IPA リスク分析シート【表10】情報資産の機密性・完全性・可用性に基づく重要度の定義
http://www.ipa.go.jp/files/000055518.xlsx

手順１）情報資産ごとに機密性、完全性、可用性を評価する

以前洗い出した情報資産ごとに、機密性、完全性、可用性に点数をつけていきます。

すべて点数がつくと、重要度が決まります。

わかっていたことですが、寄付に関わる情報は重要度が高くなります。
取得時の個人情報もそうですが、そのあと領収書発行などもするため、決済履歴が改竄されると大変なことになるためです。

また、重要度の考え方は各法人によって異なるため、このあたりは担当者だけではなく、経営ともすり合わせる必要があります。

今日はここまでになります。
次回もこのくらいサクッと終わると思います！