「リスクアセスメントをやるように言われたが、何から手をつければいいか分からない」——そんな声を新任セキュリティ担当者からよく聞きます。ISO/IEC 270051(情報セキュリティリスク管理の国際規格)とNIST SP 800-302(米国国立標準技術研究所が2012年9月に公開したリスクアセスメントガイド)はいずれも、プロセスを「識別→分析→評価」の3ステップに整理しています。この記事では各ステップの目的・成果物・陥りがちな落とし穴を示し、最初の3ヶ月で何を優先すべきかを整理します。
ステップ1 — リスク識別:守るべき資産と脅威を洗い出す
このステップの目的は「何を守るか」と「何が脅威になりうるか」を一覧化することです。ISO/IEC 27005の2022年改訂版では、まず情報資産台帳3の作成からスタートするよう求めています。
資産は大きく3種類に分けて考えると整理しやすくなります。
- 情報資産: 顧客データ、設計図、契約書、ソースコード
- システム資産: サーバー、クラウドサービス、ネットワーク機器
- 人的資産: 管理者権限を持つ社員、外部委託先
台帳を作成したら、次は各資産に対して「誰が、どんな手口で、なぜ攻撃するか」を想定する脅威分析を行います。NIST SP 800-30の付録Dには情報漏えい・ランサムウェア・内部不正など代表的な脅威シナリオが体系化されており、参照起点として有用です。
落とし穴: 台帳を作っただけで満足し、脅威との対応付けを省いてしまうケースが多く見られます。資産と脅威をセットで管理することが、後続ステップの精度を大きく左右します。
ステップ2 — リスク分析:影響度と発生可能性を測る
識別した各リスクについて「発生したらどれほど深刻か(影響度)」と「どの程度起きやすいか(発生可能性)」を評価します。この2軸の組み合わせがリスクレベルになります。
分析手法は主に2種類あります。
- 定性的分析: 影響度・発生可能性をそれぞれ「高・中・低」の3段階で評価し、マトリクスに当てはめる方式。導入コストが低く、新任担当者の最初の選択肢として適しています。
- 定量的分析: 損失見込額(ALE4=年間期待損失額。1回の損失額×年間発生頻度で算出)など数値で評価する方式。精度は高いですが、データ収集に相当な工数がかかります。
多くの国内企業はまず定性的分析から始め、成熟度が上がった段階で部分的に定量化を導入する流れを取っています。
落とし穴: スコアを担当者個人の感覚だけで決めてしまうと、部門間でばらつきが生じます。評価基準をあらかじめ文書化し、複数人でレビューする運用を確立する必要があります。
ステップ3 — リスク評価:優先度を決め、対応方針を選ぶ
分析で得たリスクレベルを受容基準と照らし合わせ、対応方針を決めます。ISO/IEC 27005はこれをリスク対応オプション5と呼び、以下の4つを定義しています。
- 対処(Treat): 技術・運用コントロールを実装してリスクを低減する
- 受容(Accept): 基準以下と判断し、現状維持を経営層が承認する
- 移転(Transfer): サイバー保険や委託契約でリスクを第三者に移す
- 回避(Avoid): リスクの原因となる活動・システムそのものを停止する
対応の優先度付けには次の視点が使えます。
- 設計: 高リスクな資産にはアクセス制御の強化・暗号化など技術的コントロールを先行実装する
- 運用: 中リスクは定期レビューやパッチ管理サイクルに組み込む
- ガバナンス: リスク受容の判断は担当者単独で行わず、経営層の承認を記録として残す
落とし穴: 「全リスクをゼロにしなければ」と考えてしまうと優先度がつけられず手が止まります。受容基準を事前に合意しておくことで、「このレベルは今期は受容する」という意思決定をスムーズに進めることができます。
最初の3ヶ月のロードマップ
新任担当者がつまずきやすいのは「完璧な台帳を作ろうとして前に進めない」パターンです。以下の順序を参考にしてみてください。
1ヶ月目 — 識別: 主要システムと保有データを20〜30件程度の粗い粒度で一覧化します。既存のシステム台帳や業務委託契約書が出発点になります。
2ヶ月目 — 分析: 定性的マトリクスを使い、各資産のリスクレベルを暫定スコアリングします。この段階の精度は70点で十分です。
3ヶ月目 — 評価・報告: 高リスク項目を絞り込み、対応方針案とコスト感をCISOまたは情シス責任者に報告します。「まず3件に絞って対応策を提案する」レベルで十分です。
完成度よりサイクルを回し始めることが最優先です。アセスメントは年1回以上の定期実施が推奨されており、初回は「たたき台」として割り切るのが現実的といえます。
一枚要約
- 何が起きているか: リスクアセスメントの3ステップ(識別→分析→評価)は国際規格が定める情報セキュリティの基本プロセスであり、未整備の組織は優先度判断の根拠を持てない状態にあります。
- 自社への影響: アセスメントが未実施だと、インシデント発生時の初動判断・経営報告の根拠が不足し、対応の遅れや責任の所在の曖昧さにつながる可能性があります。
- 打つべき手: まず情報資産台帳の粗い版を1ヶ月で作成し、定性的マトリクスでスコアリング、3ヶ月以内にCISO・情シス責任者へ報告するサイクルを確立することを推奨します。
今日着手できる3アクション
- 情報資産台帳のたたき台を作る: ExcelまたはNotionに「システム名・保有データ種別・管理部門・外部委託有無」の4列を設け、主要システムを10件入力します。まず10件からで構いません。
- NIST SP 800-30の脅威カタログを確認する: NISTの公式サイト(https://csrc.nist.gov/)からSP 800-30 Rev.1のPDFを無償ダウンロードし、付録Dの脅威カタログに目を通します。自社に当てはまる脅威にコメントをつけておくと次のステップで使えます。
- 受容基準の草案をCISOと合意する: 「高リスク=当期内に対応着手、中リスク=次期計画に組み込む、低リスク=受容」の3段階基準を1ページの文書にまとめ、上長の承認を取得します。この合意なしにスコアリングを進めると、後で評価結果がひっくり返るリスクがあります。
AI×セキュリティの観点
生成AIの普及は、リスクアセスメントが前提とする脅威カタログそのものを書き換えつつあります。攻撃者がAIを活用することで、フィッシングメールの自動生成・ソースコードの脆弱性探索・ソーシャルエンジニアリングの高度化が格段に低コストで実現できるようになっており、従来のシナリオでは想定していなかった脅威が現実化しています。一方、防御側でもLLMを活用した脅威インテリジェンスの要約や、資産台帳の分類補助が実用段階に入りつつあります。新任担当者は脅威カタログを更新する際、「AI活用型攻撃」を独立した脅威カテゴリとして追記することを検討してみてください。
用語ミニ解説
- ISO/IEC 27005 — 情報セキュリティリスク管理に特化した国際規格。2022年に改訂され、リスクマネジメント全般規格であるISO 31000との整合性が強化された。 ↩
- NIST SP 800-30 — 米国国立標準技術研究所(NIST)が2012年9月に公開したリスクアセスメントガイド。連邦政府向けだが、脅威カタログの網羅性から民間企業でも広く参照されている。 ↩
- 情報資産台帳 — 組織が保有する情報・システム・人的資源を一覧化した管理文書。リスクアセスメントの出発点であり、内容が陳腐化しないよう定期的な更新運用が求められます。 ↩
- ALE(Annual Loss Expectancy) — 年間期待損失額。1回のインシデントで生じる損失額(SLE)に年間発生頻度(ARO)を掛けて算出する定量的リスク指標。 ↩
- リスク対応オプション — リスクに対して「対処・受容・移転・回避」の4方針を選ぶ意思決定プロセス。ISO/IEC 27005で定義されており、経営層の承認が必要な意思決定です。 ↩
参考リンク
- [経済産業省 AI事業者ガイドライン](https://www.meti.go.jp/)
コメント