情報資産のリスクマネジメント  | 序論 | リスク評価方法 | リスク評価実践 | リスク処理 |

1: リスクアセスメントとは

 英語直訳で『危険因子査定』ということから、職場環境やサイバー環境内等から抽出した危険因子に対して危険性を評価し、 それが許容可能か、あるいは対策が必要かどうかを総合的に判断するプロセスのことです。

 労働安全環境管理面では『労働安全衛生法』、個人情報管理面では『個人情報保護法』等により、 リスク管理手段としてリスクマネジメントの手法が一般化しつつあり、 0SHMS(労働安全マネジメントシステム)やISMS(情報セキュリティマネジメントシステム)等の国際規格においては必要不可欠なものとなっています。


2: 今回の講義内容について

 今回は皆さんの身近にもある電子メールやデータベース等の情報資産に関するリスクアセスメントを紹介します。

 ただし、ただ紹介するだけでは、専門用語だらけで分かりにくいものになってしまいます。 せっかくこうして公開するわけですので、極力分かり易い講義にします。


3: 情報資産とは

 まず資産とは、分かり易く言い換えれば『財産』です。 要するに、会社が持っている個人情報や会計情報等の情報は、会社の財産であるという考えです。 つまり、これら情報資産が危険性評価の対象となります。

 では、ここで情報資産の例を挙げてみましょう。

 まず、情報資産とは情報に対する漏えい改ざん破損消失エラー盗難進入等の脅威に影響を与える全ての資産を指しますので、 ハード、ソフトのみに留まらず、施設、設備、書類、社員等のあらゆる資産が情報資産となります。 もちろん媒体は紙、電子ファイル、肉声等その種類を選びません。

 そして、複数の情報資産が格納されている、いわゆる“箱(PC本体、書棚、机、倉庫等)” ごとに1つのグループとして分類すると、後々管理が非常に楽になります。 ところで、これら複数の情報資産を格納している“箱”もまた情報資産の一つです。

グループ情報資産

 さて、ここで情報資産とは具体的にどんなものがあるのかを考えてみましょう。

 一般的なホームページでは、『情報資産の抽出は大事、細かく分類せよ!』と書いていますが、 個人的にあまり細かすぎても管理しきれないと思います。国際規格のISMSも、会社の規模・現状に合わない無理な分類までは指定していません。

 今回のこの講座も、カチンコチンなお堅い管理というより、“実用的で分かり易い管理”を目指しています。細部の情報資産の分類よりもまず、 “重要項目をおさえて”抽出するよう心がけて下さい。

←の分類のように、まず身近な情報資産を抽出してみてください。

 いっぱいあると思いますが、あまり大きな表になっても逆に見にくいものになりますので、12資産例を挙げました。

ファイルサーバファイルサーバ本体
社員データベース
経理データベース
A係長モバイルPCPC本体
電子メール
プレゼン資料
鍵付き書棚A書棚本体
履歴書
請負契約書
タイムカード
小口現金用小型金庫
社員会の通帳
 ★ 情報資産の分類


4: (情報資産の)危険性評価までのフロー

 さて、本講義の目的は、情報資産に対する危険性の評価でしたね。 前項にて情報資産とは何かが理解でき、今後その危険性の評価方法を学習していくわけですが、 あらかじめ評価までの流れを確認しておきましょう。

@情報資産範囲の決定
全社内か、部署内か、自分の仕事範囲内か等、情報資産の範囲を決定します。

  ↓

A情報資産の抽出
情報資産範囲内に、どれだけ情報資産があるのかを抽出します。 ※前述の3項のような具合で抽出します。

  ↓

B情報資産の重要度による分類
情報資産が“どれだけ重要なのか”によって分類します。

  ↓

C脅威の洗い出し
情報資産が“どれだけの頻度で脅威にさらされているのか”を洗い出します。

  ↓

D脆弱(ぜいじゃく)性の洗い出し
情報資産に“どれだけの脆弱性が潜んでいるのか”を洗い出します。

  ↓

Eリスク値の決定と評価
最終的な情報資産のリスクを点数によって評価します。


 さて、このフローを踏まえ、次のページにて実際にリスク値の算出・評価方法を学習していきましょう。