1.情報セキュリティ対策の必要性

まず、情報セキュリティ対策の必要性を理解するために、情報セキュリティに関連したリスクがどれほど大きいものかを考えてみましょう。企業が抱える情報は、経営状況や営業戦略、社員の個人情報など自社に関するものばかりというわけではありません。取引先に関するものや顧客の個人情報など、他社や顧客に関する情報も含まれます。仮に、ある企業が抱える機密情報が漏えいしてしまったとしましょう。機密情報が漏えいする原因は、ウイルス感染や社員による不正な情報流出、記録媒体の紛失などです。情報を漏えいさせてしまった企業は、取引先や顧客からの信頼を失ってしまうでしょう。取引中止や顧客流出により売上が減少し、経営が成り立たなくなる事態も考えられます。

情報セキュリティリスクの中でも、個人情報の流出は特に大きな問題に発展することがあります。大切な個人情報が流出してしまった場合、賠償や訴訟問題となるケースも珍しくありません。名だたる企業から個人情報が流出したと大々的にニュースで取り上げられるケースも多く、企業イメージやブランドイメージが大きく損なわれてしまうことにつながっています。

ウイルスなどにより、企業のホームページが改ざんされるというリスクもあります。ウイルス感染が原因の場合、感染したホームページに訪れた人が使っている端末にも影響が出てしまうこともあるので、早急な対策が必要です。ホームページが改ざんされたときは、その企業の情報セキュリティ対策が弱いものであると外部に認識されてしまうことは避けられません。また、パソコンのセキュリティが十分でないためにウイルスに感染し、気づかないうちに社内に感染が広がるというケースもあります。このように、企業の情報は常にセキュリティ上の大きなリスクと隣り合わせであるため、セキュリティ対策をしっかりしておくことが喫緊の課題なのです。

2.情報セキュリティ対策にはリスク分析が必要

情報セキュリティ対策をするためには、リスク分析が欠かせません。リスク分析とは、情報を抱えている守るべきシステムが脅威にさらされたとき、どんなことが起こりうるかを明確にしておくことです。リスク分析をしっかり行っておけば、リスクの低減を実現できます。リスクをレベル化することにより、保護すべき情報やシステムが明らかになり、必要な対策を講じることができるようになるからです。対策のための効果的な投資も実現させることができます。システム自体の物理的な資産に加えて、そのシステムが有している情報資産も守ることができるからです。

分析の対象となるものを洗い出すことで、企業の全資産を把握しやすくなるという側面もあります。一度リスク分析をしておけば、以前のリスク分析でなされた対策が有効だったかどうか後から見返してみて、有効な対策がどれなのかが判断しやすくなります。その後別の脅威にさらされたとしても、限られた予算の中で有効な対策も追加しやすくなるでしょう。

リスク分析は、PDCAサイクルの確立にもつながります。PDCAサイクルとはPlan・Do・Check・Actの頭文字を取ったもので、計画し、実行し、振り返り、行動するという意味です。リスク分析をしておくことにより、セキュリティの維持向上を継続するためのベースを作ることができます。

3.リスク分析に用いる3つの評価指標

リスク分析を行う際に用いることができる評価基準は、3つあります。
1つ目は、保護すべきシステムや事業など分析の対象となるものの価値と、考えられる被害の規模やその影響です。これらを考えることにより、守らなければならないものの重要性やその役割を再認識できます。2つ目は、分析する対象に対して予想される脅威と、それが起こりうる可能性です。生じかねない被害やその大きさ、それが実際に起こる可能性などを、リスクレベルとしてはっきりさせておきます。事前にリスクの可能性を考慮しておくことで、対策が必要なものの優先順位がはっきりするでしょう。3つ目は、考えられる脅威が生じたときの受容可能性です。受容可能性を考えながら分析することで、分析する対象の脆弱性を明らかにできます。

4.リスク分析に用いる4つの手法

4-1.リスク分析手法1.ベースラインアプローチ

リスク分析とひと言で言っても、さまざまな手法があります。その1つ目は、ベースラインアプローチという手法です。ベースラインアプローチをするには、まず一定の安全基準に達しているセキュリティレベルを目標として設定します。次に、今ある標準や基準をもとにしながら、分析対象となるシステムに関して、目標のセキュリティレベルに達するためにはどんな対策が必要かを考えます。有効と見られる対策案を考えたなら、その分析対象で実行可能かどうか、対策の適合性などをチェックしていくというものです。

ベースラインアプローチのメリットは、作業の工数が少なくて済むことです。さらに、今ある標準や基準をもとにしているため、あるレベルの評価の目安としても利用できます。反対にデメリットを挙げるなら、対策基準に対する適合レベルのチェックでしかないことでしょう。自社のシステム環境に沿ったリスク分析ではないので、独自の状況を細かく分析したいときには向きません。対策を実施していないシステムがあった場合も、自社のシステム環境に沿った選択基準を得られないということを覚えておく必要があります。

4-2.リスク分析手法2.非形式的アプローチ

2つ目のリスク分析方法は、非形式的アプローチというものです。非形式的アプローチは、企業や組織の代表、情報セキュリティ対策の担当者などが、これまでの経験などに基づいて判断してリスク分析を実施します。メリットといえるのは、主に個人の経験に基づいた判断となるため、工数の小さいリスク分析手法であることです。

デメリットは、主に人のこれまでの経験に基づいているために、どうしても限界があることです。IT分野は常に進化し、発展を遂げています。ウイルス一つを取ってみても、新たなものが次々と生み出されています。一つの対策が、あるウイルスには効果的でも、別のウイルスには対応できなかったということもあります。新しいウイルスの脅威にさらされた場合や、これまでとは異なるスタイルのセキュリティリスクが起きた場合、非形式的アプローチでは問題をカバーしきれないこともあるかもしれません。経験に基づいたものでは、今後起こるかもしれないリスクを予想することは難しいでしょう。どれほど情報セキュリティ対策に通じた担当者がいたとしても、やはり経験でできることには限界があります。非形式的アプローチでは、継続的にセキュリティレベルを向上させていくことはできません。

4-3.リスク分析手法3.詳細リスク分析

つ目のリスク分析方法は、詳細リスク分析です。詳細リスク分析は、分析対象のシステムまたはそのもとにある事業を、重要度・脅威・脆弱性という3つの評価指標で分析します。評価指標の1つ目で取り上げた「重要度」は、脅威にさらされて被害が発生した場合の被害の度合いとして考えることもあります。

詳細リスク分析の手法を選択するメリットは、いったん分析しておくと、それをベースとして継続的にセキュリティレベルを向上させられることです。独自のシステムに対して、正確に分析することも可能です。詳細リスク分析は、ほかのリスク分析手法よりも実態の把握と対策を検討するのに適しているといえるでしょう。どのセキュリティ投資を優先させるかなど、戦略的に検討することもできます。デメリットを挙げるなら、3つの評価指標で分析するため、工数が増える懸念があることです。導入しているシステムが規模の大きなものであるなら、工数が多くなる可能性が高まります。

4-4.リスク分析手法4.組み合わせアプローチ

最後に紹介するリスク分析の手法は、組み合わせアプローチです。組み合わせアプローチは、これまで取り上げてきた3つのリスク分析方法を組み合わせた分析のことです。複数のアプローチを使うことで作業を効率よく行うことができ、分析結果の精度を向上させることもできます。あるアプローチでは作業工数がかなり大きなものとなってしまうことが予想されるなら、その分野では別のアプローチにより分析する、などということが可能になります。うまく組み合わせてアプローチするなら、作業工数が増大してリスク分析が大掛かりな仕事となってしまうことはありません。

組み合わせアプローチでは、各分析手法のメリットを取り込めるのも魅力的な点です。それぞれの方法の長所を活かして効率よく分析することができます。複数の手法を用いることで、デメリットとなりうることを回避できるケースもあります。一方、組み合わせアプローチのデメリットは、どんな場合にどの手法を併用したらよいのか、組み合わせについての明確な指針が示されていないことです。企業や事業者、導入しているシステムなどにより、最適な組み合わせ方は異なります。しかし、そのガイドラインとなるようなものはないため、各自がシチュエーションごとによい組み合わせ方を考える必要があります。

5.詳細リスク分析がおすすめの理由

これまで紹介したリスク分析手法の中では、詳細リスク分析でアプローチすることに優位性があるといえます。詳細リスク分析を用いると、導入しているシステムの状況などによっては、作業工数は増えるかもしれません。しかし、分析対象の実態に沿って評価ができるため、起こりうるリスクをより明確にすることができます。回避すべき脅威と、そのために講じるべき対策を網羅的に把握できるでしょう。さらに、事業被害の回避の検証も可能になります。詳細リスク分析には、資産ベースのリスク分析と事業被害ベース（シナリオベース）のリスク分析という2種類があります。

6.資産ベースのリスク分析の進め方

資産ベースのリスク分析では、分析対象のシステムの資産について、詳細リスク分析の3つの評価指標で分析していきます。分析対象のシステムの資産とは、システムサーバ、端末、通信機器などのことです。詳細リスク分析の3つの評価指標とは、先ほど取り上げた通り、重要度・脅威・脆弱性です。まず、保有している資産とその重要度について定義します。 次に、各資産に対する脅威とそのレベルの定義です。最後に、資産の各脅威に対する脆弱性を評価します。これらの段階を踏むことで、各資産の脅威に対するリスク値を算定することができます。この場合におけるリスク値とは、脅威が起こる可能性と、それがもたらす被害により失われる資産価値を掛け合わせて算出したものです。リスクが高いとされる脅威が何かわかったら、それが起こる可能性を低減させるために、必要な対策を検討することになるでしょう。

資産ベースでリスク分析をすると、資産を構成するものに対して考えられる一時的な脅威を網羅して洗い出すことができます。資産の規模やまとめ方などにもよりますが、作業工程もそれほど多くはありません。ただし、各資産に関して分析するため、資産を構成する要素間にわたって脅威がもたらされる場合は、その攻撃を追跡することは難しいでしょう。また、資産をベースにした考え方であるゆえに、事業被害リスクを分析するのには向いていません。

7.事業被害ベースのリスク分析の進め方

事業被害ベースのリスク分析も、3つの評価指標をもとに分析しますが、資産ベースのリスク分析とは違いがあります。事業被害ベースのリスク分析の評価指標は、事業被害・脅威・脆弱性です。まず、避けたい事業被害を定義し、その被害が起きた場合の被害レベルを評価します。そして、事業被害を引き起こしかねない攻撃シナリオを考えます。これは攻撃ツリー解析と呼ばれていて、攻撃者の視点から攻撃方法やルートを考える解析手法です。攻撃方法や侵入口などを想定した攻撃シナリオを、攻撃ツリーとして構成します。その後、その攻撃ツリーが発生する可能性や、構成した事象を受容してしまう脆弱性を評価します。

事業被害ベースで攻撃ツリー解析をするメリットは、攻撃の入口だけでなく、攻撃の連鎖が起きたときにもそれを追跡できることです。事業被害が起こる可能性がどれほどあるかも、直接評価できます。デメリットは、攻撃ツリーの数が多くなると分析工数が膨大になってしまうことです。攻撃ツリーのシナリオの作り方などにもよりますが、分析に時間や手間がかかることもあるでしょう。

8.会社資産を守るためにもリスク分析の実施を！

リスク分析をしっかり行うことにより、適切なセキュリティ対策を実施できるようになります。顧客からの信頼や会社の資産を守ることにもつながるので、ぜひ積極的に取り組んでみましょう。