セキュリオの機能をISMSの観点から見てみよう【リスクマネジメント】

情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第8回、今回はリスクマネジメント機能です！

会社のセキュリティを改善するなら情報セキュリティ教育クラウド「セキュリオ」

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「リスクマネジメント」機能について

セキュリオ「リスクマネジメント」機能は、ISMSで最も重要な要素の一つ「リスクの特定・分析・評価・管理」そして、対策のタスク管理を一手に行うことができる機能です。

リスクマネジメント | 機能紹介 | セキュリオ

ISMS観点から見るリスクマネジメント機能

リスクマネジメント機能は規格のどこに当てはまる？対応できる？

【規格本文】

1. 6.1.2 情報セキュリティリスクアセスメント/8.2 情報セキュリティリスクアセスメント
   ＜規格要求＞
   情報セキュリティリスクアセスメントのプロセスの確立、プロセスにもどつく実運用の実行。
   
   リスク分析・評価を要求する規格そのものです。プロセスの確立そのものはルールブックなどに記載することが多いですが、この機能ではそのルールに準じた分析の計算式設定なども行うことができるので、実際に対応する人が意識せずともプロセス通りのリスク分析・評価を行うことが可能です。
   

2. 6.1.3 情報セキュリティリスク対応/8.3 情報セキュリティリスク対応
   ＜規格要求＞
   情報セキュリティリスク対応のプロセス確立、プロセスに基づく実運用の実行。
   
   リスク対応を要求する規格そのものです。プロセスの確立そのものはルールブックなどに記載することが多いですが、この機能ではリスク分析の結果、対応を要すると判断したリスクのリスク対応計画をタスクとして管理することが可能です。
   

3. 7.5.2 作成及び更新/7.5.3 文書化した情報の管理
   ＜規格要求＞
   文書化した情報の作成、更新、管理の適切な実施。
   
   要求の一部として、「適切な識別や記述の実施」「適切な形式」「配布、アクセス、検索及び利用」「変更の管理」など適切な管理のための様々な取り組みが求められています。
   リスクマネジメント機能では、グループや業務ごとの検索を行ったり、また、作成日や更新日、更新者、承認などの関連情報を残すことなども可能です。
   

4. 9.3 マネジメントレビューへのインプット
   ＜規格要求＞
   マネジメントレビューでの規定の内容のインプット実施。
   
   要求の一部として、「リスクアセスメントの結果およびリスク対応計画の状況」が求められています。
   リスクマネジメント機能では、リスクアセスメントの結果や各対応計画のタスク進捗状況を一覧でインプットに活用することが可能です。

【附属書A】

1. 附属書A全般
   附属書A＝一般的なリスク一覧でもあります。
   つまり、附属書Aへの対応や反映などを示すものとしてリスクマネジメント機能を活用することが可能です。
   

2. 5.30 事業継続のためのICTの備え
   ＜規格要求＞
   事業継続の目的・ICT継続の要求事項に基づく、ICTの備えを計画、実施、維持、試験の実施。
   
   直接的な要求ではありませんが、事業継続の計画を立てる上では、災害等発生時の事業影響を見る事業影響度分析（BIA）を行うことが有効とされています。
   リスクマネジメント機能をISMSの情報セキュリティリスク分析だけでなく、事業継続の観点からも活用しても良いかもしれません。

リスクマネジメント機能を使うメリット

ここまではリスクマネジメント機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオのリスクマネジメント機能を使うメリットについて考えてみましょう。

1. グループで紐づけて管理することができる
   リスクマネジメント機能では、あらかじめ設定したグループと情報資産を紐づけることが可能です。
   各部署などのグループとリスクを紐づけることで、検索性の向上や審査対応時などにもスムーズに示しやすくなるかもしれません。
   

2. リスク分析の推移を見比べることができる
   リスクマネジメント機能では、リスクを見つけたタイミングと対策を行った後のリスク分析を並列で記録することができるため、対策を行うことによってどのようにリスクを管理できているのか可視化することが可能です。
   

3. リスクと対策のタスクを一緒に管理することができる
   リスク管理を行う上で面倒なことの一つとして、リスク分析の結果と、そこから発生した追加対策の対応計画タスクは別々に管理されやすいということがあります。その結果タスクの管理・対応漏れなどにつながるケースも少なからず見受けられます。
   
   その点リスクマネジメント機能では、各リスクに直接紐づける形で流れで対応計画のタスク管理をすることができるため、管理・対応漏れなどの発生を防止することにもつながります。

まとめ

今回は第8回として「リスクマネジメント」機能を取り上げました。

ISMSは「リスクマネジメント規格」とも言われるほどリスク管理が重要な仕組みであり、情報セキュリティリスクを減らす上でも大切なことなので、リスクマネジメント機能を用いて、より有効的なISMS運用に繋げることもできるのではないでしょうか。