しろうさのソフトウェア開発室

January 12, 2021By Shirousa← Back to Blog

セキュリティ担当者向け、リスクアセスメント入門

目次

セキュリティ担当者向け、リスクアセスメント入門

この記事は、セキュリティ担当者になった方にリスクアセスメントという手法と、解決できる課題。 また、実際のリスクアセスメント手法を教示するものです。

リスクアセスメント

リスクアセスメントとは

セキュリティマネジメントの手法の一つにリスクアセスメントというものがあります。

これは、組織やシステムに対し、どのようなリスクが有るのか、どのような対応が必要なのかを分析するための手法です。

一般的なセキュリティ対策というと『OWASP 10』や『SQLインジェクション』 という言葉を聞くと思います。

リスクアセスメントは、なぜ『OWASP 10』や『SQLインジェクション』への対応が必要なのか? 他のものが重要ではないか? そのような問いへの答えを提供するものです。

リスクアセスメントを実施することにより以下のメリットを享受できます。

  • 国際標準に裏打ちされる対応の実施。
  • 決裁者に対する実施内容の説明ができる。
  • 広い視点で組織やシステムのリスクを評価できる。
  • 対策の順序や、それに対する投資の決定ができる。
  • 対応や決定の履歴が残る。

決裁者から、なぜ実施するのか問われている担当者の方。 対策の抜け漏れがないか不安な担当者の方。 どれから対応したら良いか不安になっている担当者の方。

リスクアセスメントという手法を試してみたらいかがでしょうか?

リスクアセスメントの実施方法

リスクアセスメントは、 『JIS Q 31000 (ISO 31000) リスクマネジメント - 指針』という国際標準があり、 その中の『プロセス』としてまとめられています。

リスクアセスメントは、3つの段階からなります。

  • リスクの特定
  • リスクの分析
  • リスクの評価

それぞれの段階でどのようなことを実施するのか、実際の例を元に試してみたいと思います。

実践

ユースケース

今回の例示のユースケースです。

あなたは、飲食チェーンのセキュリティ担当者です。 経営者から、今後のセキュリティ投資のためにどのような対策を取るべきか検討を依頼されました。

そのため、あなたはリスクアセスメントの手法を用いて、対応を検討しました。

リスクの特定

リスクの特定では、どのようなリスクがあるかを網羅的に検討します。 重要なことは、ここでは発生確率が低いののや、あまり影響を受けないと思うものも記載することが大切です。

私はよく、『プロセス』『人・関係者』『システム』 に着目して対応を検討します。

例えば、今回のユースケースをもとに検討してみます。

リスクの特定の例示

  • プロセス

    • 調理

      • 食中毒が発生する。 保健所から営業停止を勧告される。
      • 従業員が調理器具により怪我をする。 営業停止を勧告される。

    • 提供

      • お客様の洋服などを、ミスにより汚損する。

    • レジスター

      • 営業時間中にロックが掛かっていなく、誰でもアクセス可能。 繁忙時間など盗まれる可能性がある。
      • 営業時間中に現金が回収されること無く、蓄積されている。 強盗被害にあう可能性がある。
      • カード決済システムがレジと連携されておらず、手打ちで入力している。 金額を間違え決済する可能性がある。

    • お客様の予約受付用パソコン

      • パソコンのパスワードが付箋で書いてある。 第三者にアクセスされる可能性がある。
      • 予約者の氏名や電話番号が誰でも確認可能。 情報漏えいが発生する可能性がある。

  • 人・関係者

    • 仕入先

      • 仕入先が突然倒産する可能性がある。 営業が停止する可能性がある。

    • アルバイト

      • 突然出社しなくなる可能性がある。 営業できない可能性がある。
      • 不適切な動画をアルバイトが撮影する。 SNSで拡散される。

  • システム

    • 全社システムが停止する。 発注や支払いが出来ない可能性がある。

  • その他

    • 未知のウイルスの蔓延により営業ができない。

このように、起きる可能性があるリスクを全て、多様な視点で特定していくことにより、抜け漏れなく特定することが可能となります。

リスクの分析

リスクの分析では、特定した各リスクがどの程度の影響を与えていくか分析します。 ここでよく使う指標は『起こりやすさ』と『影響度』です。

『起こりやすさ』は、そのリスクがどの程度の頻度で、どの程度の組織や人に起こるかを分析します。 たとえば、 週1回なのか、年1回なのか、ほぼありえないのか。 すべての支店に影響を与えるのか、特定の支店だけ影響を与えるのかを分析します。

『影響度』は、起こった際にどれほど影響を与えるのかを分析します。 たとえば、 1日営業が止まるのか、1月営業が止まるのか、1年間営業が止まるのか。 軽微な損害なのか、店舗経営に損害を与えるのか、全社経営に影響を与えるのか。

分析を行います。

リスクの分析では、リスクの評価を簡易にするため同一の指標で分析することが大切です。 また、順位づけを行うためにスコアリングを行います。

スコアリング指標の例示

  • 起こりやすさ

    • 年1回発生 スコア1
    • 月1回発生 スコア2
    • 日1回発生 スコア3

分析の例示

  • 食中毒が発生する。 保健所から営業停止を勧告される。

    • 起こりやすさ

      • 年1回 発生する。 (スコア 1)
      • 特定の支店で発生する。 (スコア 3)

    • 影響度

      • 1月程度の営業停止 (スコア 3)
      • 店舗経営に損害を与える。 (スコア3)

スコアリングの例示

  • 起こりやすさ評価

    • 4 : 1 + 3 (足し算による評価)

  • 影響度評価

    • 6 : 3 + 3 (足し算による評価)

  • 評価値

    • 24 : 4 × 6 (掛け算による評価)

ここで、スコアリングの数値や、計算方法(加算・乗算)などは、組織に合わせて検討してください。

リスク評価

リスクの評価では、順位づけ結果から対応方法を検討します。

リスクの評価には 7つの対応の指針があります。

  • リスクを生じさせる活動、開始又は継続しないと決定することによって、リスクを回避すること。
  • ある機会を追求するために、リスクを取る又は増加させること。
  • リスク源を除去すること。
  • 起こりやすさを変えること。
  • 結果を変えること。
  • 一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。
  • 情報に基づいた意思決定によって、リスクを保有すること。

それぞれ解説します。

対応する順序付けとしては『評価値(起こりやすさと影響度をともに考慮したもの)』で順序付けすることが多いです。

リスク回避

従前の指針ではリスク回避と言われていました。 これは、一般的に起こりやすさ、影響度ともに大きいものに対応する方法です。

ビジネスを継続すること自体が危険であり、停止することが望ましいものです。

  • リスクを生じさせる活動、開始又は継続しないと決定することによって、リスクを回避すること。

こちらは、すでに対策済みのようなことが多いので特に例示は出来ませんが、選択肢としてあります。

リスク最適化

従前の指針ではリスク最適化と言われていました。 これは、一般的に起こりやすさが大きく、影響度が小さいものに対応する方法です。

ビジネスを安全に継続するために対策します。

  • リスク源を除去すること。

    • リスク源が自己の組織でコントロールできるときに、リスク源を除去するものです。
    • たとえば、『パスワードの書かれた付箋』がリスク源なら、『付箋を外す』という対策が考えられます。

  • 起こりやすさを変えること。

    • リスクが直接コントロール出来ないときに、起こりやすさを変える方法です。
    • たとえば、『現金がお店にある』リスクは、『現金を少なくし、銀行に預ける』という対策が考えられます。

  • 結果を変えること。

    • リスク源や起こりやすさが変えられないときに、結果を変える方法です。
    • これは、影響がないように事前に対策したり、備える方法が含まれます。
    • たとえば、『全社システムが停止する』リスクには、『代替手段を決定しておく』という対策が考えられます。

リスク移転

従前の指針ではリスク移転と言われていました。 これは、一般的に起こりやすさが小さく、影響度が大きいものに対応する方法です。

  • 一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。

    • 保険への加入や、ステークホルダーとリスクを共有することが含まれます。
    • たとえば、『食中毒が発生する』リスクに対しては、『保険への加入』が考えられます。

リスク保有

従前の指針ではリスク保有と言われていました。 これは、一般的に起こりやすさ、影響度が小さいものに対応する方法です。

  • 情報に基づいた意思決定によって、リスクを保有すること。

    • 起こりやすさも小さく、影響度も小さいことが確認出来たものに対して、対応しないことを決定します。
    • たとえば、『お客様の洋服の汚損』リスクに対して、『何もしない』ことが考えられます。

プラスの影響

これは、従前の指針に無いものです。 実施することにより、より良い影響があるのに対応する方法です。

  • ある機会を追求するために、リスクを取る又は増加させること。

しかし、これはあまり発生する可能性がないため、選択肢として取らないことが多いです。

まとめ

リスクアセスメントを用いて、どのリスクからどのように対応するかなど決定することが可能です。

まずは『OWASP 10』から始めようといった対応から着手するのではなく、なぜ組織にセキュリティ対策が必要なのか検討し、最適な投資が出来ることを期待しております。

以上

✨ブログランキングにご協力ください✨ にほんブログ村 IT技術ブログ セキュリティ・暗号化へ

本サイトの記事について

本サイトの記事は、プログラミングだけでなく、雑多な雑学を多く配信しております。

もしよろしければ、ほか記事も閲覧いただけますと幸いです。

© 2020-2021 – Shirousa.org