CISSP取得に向けて

セキュリティエンジニア勉強サイト

NEW ARTICLE
【実践編】秘密鍵の作成

【1-3】リスクマネジメント

リスクとは、損害が発生する可能性のことを表すことです。
リスクマネジメントでは、組織で得られる価値とリスクの割合が適切であるかを判断します。
セキュリティ実務者は受け入れることができる需要可能なリスクを決定することが任務となっています。

リスクマネジメントは、資産の評価リスクの特定リスクの評価リスクへの対応の4ステップで行います。

リスクマネジメントのステップ

目次

資産の評価

企業の資産とは、財産(データも含む)、人材、プロセスなどが含まれます。
資産の価値は、絶対的な金銭的価値で測れるものもあれば、相対的価値を持つものがあります。
ある部署では重要な資産でも、ほかの部署では価値のない場合もあります。

資産の重要性を判断するツールとして、ビジネス影響度分析(BIA)があります。
ビジネス影響度分析(BIA)は、経営にどのくらい影響するかを考え、資産に重要度をつける方法です。

また、保有している資産を正しく把握するためには、資産インベントリ(資産の管理)が必要となります。

リスクの特定

リスクは、脅威と脆弱性が組み合わさった時に発生します。
脅威と脆弱性のどちらか単体だけでは、リスクの発生は起こりません。
リスクの特定では、資産に関連する脅威脆弱性を特定していくステップとなります。

脅威

脅威とは、資産にリスクをもたらす原因となるものです。

脅威の例
自然現象 災害(洪水、ハリケーン、地震など)や火災、生物に関するもの(書動物がケーブルをかじる等)があります。
犯罪 ハッカー、泥棒、工作員、テロリスト等があります。外部からの犯行だけでなく、組織内部から実行される場合もあります。
ユーザエラー コーヒーをこぼしたり、特定のファイルを意図せず消してしまうなどがあります。

脅威は絶え間なく変化しているため、常に脅威の状況を評価していく必要があります。

 

脆弱性

脆弱性とは、リスクを高めたり、現実化する可能性を高める組織運営に関するものです。

脆弱性の例
ソフトウェア ソフトウェアの機能のバグや、開発者が意図しないプログラム要素の欠陥等です。
例えば、ある文字列をシステムに入力すると不正にデータを取得できてしまうプログラムなどが当てはまります。
物理的な施設や業務 施設の入り口(人目がない)、可燃性の場所や物、持ち運びしやすい資産等が当てはまります。
従業員 従業員自身が攻撃を受けたり、懐柔や説得による攻撃に脆弱であることなどが当てはまります。

リスクの評価

リスクを特定したので、次はリスクを評価していきます。
リスクが現実化する可能性や考えられる損失、危害の種類を正確に測定することが重要になります。

リスクは一般的に影響可能性露出の3要素で評価します。

リスクの3要素
影響 リスクが現実化した場合に生じる損害や危害を表します。
損害を受ける資産の重要性をもとにして、リスクを金銭的に測定することができます。
可能性 リスクが現実化する可能性を表します。
履歴等の過去のデータを利用して、発生頻度を判断できます。
予測であるため、指標を出すのは極めて難しくなります。
露出 ある脅威に直面する可能性を表します。
例えば、海沿いよりも高台にある建物の方が洪水の脅威の可能性は少なくなります。

分析には定量分析定性分析の2種類があります。

  • 定量分析では、感覚ベースの主観的な分析をします。分析の時間や予算がない場合に行うことが多くなります。
  • 定性分析では、データベースの客観的な分析をします。分析の時間や予算、データ分析のノウハウがある場合に行うことが多くなります。

リスクへの対応

最後にリスク発生時の対応方法に関する検討を行います。
リスクへの対応は、回避受容低減移転の4種類が一般的です。

リスクへの対応方法
リスク回避 リスクが現実化しないように、機能そのものの代替策を講じることです。
これは、セキュリティの手法ではなくビジネス上の判断となります。
リスクの影響が大きすぎる場合や発生率が高い場合にリスク回避を選択することがあります。
リスク受容 現実化するリスクに対し、何も行動を起こさず受け入れることです。
リスクの影響がごくわずかな場合やコストが大きすぎる場合に選択することがあります。
リスク低減 リスクが及ぼす影響を小さくしたり、リスクの現実化の可能性を下げるような対策を講じることです。
リスクを引き起こす要素に対してセキュリティコントロールを行うので、リスク低減はセキュリティ担当者の役割となります。
リスク移転 リスクが及ぼす影響を保険会社などの他者に引き渡すことです。
リスク移転には他者へのコスト支払で金銭的な影響をゆだねることはできるが、信用等の管理責任は他者に委ねることはできません。

 

コラム:リスクへの対応の例
とある国宝の展示会に怪盗からの犯行予告が入った場合を例として、リスクへの対応を考えていきます。
展示会の警備の強化をすることは、リスクの現実化の可能性を下げるリスクの低減となります。
強化した警備でも盗まれてしまうリスクを受け入れることは、リスクの受容となります。
国宝の紛失に対して保険の加入することは、リスクの移転となります。
展示会自体を中止にすることは、リスクの回避となります。

達成目標

本章での達成目標は以下となります。

【1-3-1】資産の評価、関連する課題、利益への貢献を理解している。
【1-3-2】脅威と脆弱性の違いを理解し、説明できる。
【1-3-3】リスク評価と分析の一般的な手法を理解し、説明できる。
【1-3-4】リスク管理の一般的な4つの手法を理解している。