ISO27001:2022 対応日記　リスクアセスメント前編

前回の記事では、ISMSドキュメントの修正についてお伝えしました。

この記事では、サイボウズのISMS移行審査に向けてリスクアセスメントを実施しましたので、実施したことを書きます。

リスクアセスメントとは

組織が抱える情報セキュリティリスクの分析と脆弱性の特定、リスクの評価、対応を決定する一連のプロセスを指します。

リスクアセスメントの流れ

1. 情報資産を洗い出す

2. リスクを算定する基準を決める

3. 脆弱性を洗い出す

4. リスクを評価する

5. 対応計画を立てる

という流れでリスクアセスメントを実施しました。

リスク分析の手法

リスク分析は、セキュリティレベルのベースラインを定め、レベルに達しているか確認する「ベースラインアプローチ」と、情報資産に対し、詳細に管理体制や資産価値の確認、評価を行い、リスクを評価する「詳細リスク分析アプローチ」の２つを組み合わせて実施しています。

情報資産の洗い出し

情報資産とは、情報そのもの、情報を格納するデバイス、情報を処理するシステムなども含みます。利用している情報資産を洗い出すことで、守るべきものがどこにあるのか特定し、レベル分けすることができます。

[PR]
サイボウズでは、情報資産を kintoneアプリで管理しています。kintoneで管理することで、情報資産がどこに存在し、重要度がどの程度なのか、取り扱いに関する注意事項などを、従業員全体に公開することが可能です。
サイボウズで管理している情報資産台帳には "jyo" という「アプリコード」が設定され、該当の情報資産を "jyo-123" などように表記し、コミュニケーションをとることができます。kintoneに書き込んだ "jyo-123" は自動的に該当する情報資産台帳のレコードへのリンクが貼られます。

アプリコードを設定する | kintone ヘルプ

リスク算定の基準

洗い出したリスクに対して感覚的にリスクの高低を判断すると、間違った判断をしてしまう可能性があります。リスクに対して、リスクを数値化し、数値化したリスク値をもとに対応の要否を判断することが重要です。
サイボウズでは、情報資産の重要度（CIA値）・リスクが発生しうる頻度（脅威値）・組織の対応状況（脆弱性値）を判定し、それぞれの値を掛け算することでリスク値を計算しています。
それぞれの値は 1～4 で設定します。最重要の情報資産であれば 4となり、リスクが発生しうる頻度が毎日のように起こりうるのであれば 4とし、組織の対応状況が規則の定めもなく、実施もされていない状況であれば 4と設定します。このような場合のリスク値は、CIA値=4×脅威値=4×脆弱性値=4 となり、リスク値=64 と計算されます。
サイボウズでは、高リスクと判断するリスク値を 18としています。ISMSを始めたばかりの組織だと、対応すべきリスクが多数出てきてしまう可能性があるので、リスク値 32を高リスクと判断し、年々高リスクと判断するリスク値を厳しくしていく運用がやりやすいと思います。

脆弱性を洗い出す

脆弱性は、ISMSを適用している業務を実施している部署の ISMS推進委員が実施しています。ISO/IEC27001:2022 で新たに定義された管理策をもとにしたセキュリティベースラインを記載したチェックリストをお渡しし、情報資産および業務プロセスがベースラインに沿って実施されているかを確認いただき、実施されていないものを抽出します。

[PR]
サイボウズでは、抽出された脆弱性を kintoneに登録して管理しています。kintoneで管理することで、必要な入力項目が急に出てきた場合でもすぐに対応することができます。また、登録された脆弱性について、不明なことがあれば、データ上でコミュニケーションをとることができ、単なるデータベースとは異なる利用ができます。このように社内のデータを管理し、利活用するのに便利な kintoneですが、多数の kintoneのアプリが作られると、利用したいアプリが埋もれてしまうなど、不便なことも起きがちです。kintoneアプリ作成の心得を公開していますので、kintoneの活用が進んで困った場合は、参照いただけると助かります。

kintoneアプリ作成の心得 | kintoneの歩き方

まとめ

• 情報資産を洗い出すことで守るべき資産を特定する

• リスクの算定は、数値化する

• 脆弱性の洗い出しは、ベースラインと情報資産を組み合わせる方法で実施

次回後編では、リスク評価とリスク対応計画について説明します。