情報セキュリティマネジメントシステム（ISMS/ISO 27001/JIS Q 27001）のリスクアセスメントについて

私の会社では、情報セキュリティマネジメントシステム（ISO 27001：2005）を取得・運用しております。
リスクアセスメントを実施していくにあたって、つじつまが合わないというか困ったことが出てきました。

わかりやすくするため
財団法人　日本情報処理開発協会の
「ISMSユーザーズガイド-リスクマネジメント編-」
http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf
を使って運用するものとします。

ユーザーズガイド　Ｐ３２によると
リスク値＝「情報資産の価値」×「脅威」×「ぜい弱性」　等となります。

そして例えば「受容可能なリスク値」を９未満と決めたとします。
そうすると、Ｐ３３の表の水色部分において、対策を行うこととなります。

------------------------ここまでは良いのですが…

弊社では、同じような方式を採用して
なおかつ定期的にリスクアセスメントを行うこととしました。
もちろん今までのリスク（ぜい弱性）に対する対策は取ってあるとします。

そうすると、「情報資産の価値」＝３以上、「脅威」＝３、の資産の場合
「ぜい弱性」がいくつであろうとも、リスク値は９以上になってしまうのです！

自らコントロールできる値は「ぜい弱性」のみですから、
ありとあらゆる対策を取り、ぜい弱性を下げてあったとしても
いつまでたっても「受容可能なリスク値」（９未満）を満足できない
…というおかしな事になってしまうのです…

このユーザーズガイドの点数は、あくまで便宜的な数値、ということはわかっているのですが
じゃあどのようにリスクアセスメント手法を直せばいいか、良い方法が思いつきません…
うまく運用されている例がありましたらぜひご教示ください！

No.1 回答者： isoworld 回答日時： 2007/07/15 22:39

　「受容可能なリスク値」を定めるときによく考え、妥当な基準にしなければなりません。

貴社で「９未満」と決めたのには、何かそれなりの根拠なり考えはあったのでしょうか。どこまでになれば受容可能であるか、幾つかの事例で検証してみてください。それが「受容可能なリスク値」を決める判断要素になるはずです。
　次に「自らコントロールできる値はぜい弱性のみ」とありますが、そんなことはありません。「脅威」に対しても打つ手はあります。

この回答への補足

ご回答ありがとうございます！
回答つかないだろうと思っていたのでとてもうれしいです（＾－＾）

基準「９未満」というのは、うちの会社の基準ではなくて、あくまで「日本情報処理開発協会」のユーザーズガイド
http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf​
のＰ３３　上段の「表2-16　リスク受容一覧の例（１）」からです。

＞「自らコントロールできる値はぜい弱性のみ」とありますが、そんなことはありません。
＞「脅威」に対しても打つ手はあります。

うーん、それは納得できませんが…
例えば、資産が「金銀財宝」　脅威が「どろぼう」　ぜい弱性が「家にカギをかけていない」とします。
「ぜい弱性」対策には、カギを２重にしたり監視カメラを付けたりして対応します。
「資産」対策には、もしかしたら財宝を手放す、という策もあるかもしれません。（リスク回避ですね）
「脅威」対策に対する対策は？どろぼうそのものを無くせばいいのでしょうか。
では、どろぼうを片っ端から捕まえて減らしていく？
そんな事は無理ですよね！脅威は外からやってくるんですから、コントロールは不可能です。

同じように、
資産：「サーバ内の顧客情報」　脅威「ハッカー・ウィルス等」　ぜい弱性「セキュリティ対策の不備」
この場合は、脅威は減らす事ができますか？ハッカーやウィルスをこの世から無くす事はできます？
そして、資産価値が「３」、脅威が「３」とします。（個人情報保護・ウィルス蔓延などを考えればこれくらいとなるはず）
セキュリティ対策を完璧なまで、これ以上無い！というくらいに行い、「ぜい弱性」を最上級の「１」とした場合でも、
リスク値は３×３×１＝「９」、受容可能範囲を超えてしまいます。
従って、リスクアセスメント上では、いくら対策を打っても、リスク低減ができないことになってしまいます。

補足日時：2007/07/18 15:07

No.2 ベストアンサー 回答者： hamayan55 回答日時： 2007/11/18 19:19

質問者さんもお気づきのとおり、Ｐ３３の図は一例に過ぎないので、必ずしも９未満にしなくてはいけないという事ではありません。

受容可能なリスクレベルは御社で決めればいいと思います。
レベルが高いものについては、レベル相当の対策が必要ですよという意味合いで良いはずです。

おそらく、リスク値９が本当に問題あるのかを調べてみてはどうでしょうか？全体として許容レベルが高すぎるのであれば、そこの見直しが必要かと思われます。

コンサルなどを使わずにISO27001を取得されるように見受けられますが、確実に取得する必要があるなら、コンサルに手伝ってもらったほうが効率もいいと思いますよ。コンサル料金は取得保証で200万程度です。一人で取得するには厳しすぎるものだと思うので、人件費と期間を考えればここでお悩みになられるより安いと思います。

この回答への補足

ご回答ありがとうございます。返信が遅くなりまして申し訳ありません。
確かに例示は一例に過ぎないので、自社に合ったようなリスクアセスメントにすれば良いのでしょうが・・・
しかし実際の運用に当たって、ガイド通りに運用して同じような壁に当たっている方もおそらくいらっしゃるのではないかと思い、実際問題どのように解決しているのか、生の声をお聞きしたくて質問を投稿させていただいた次第です。

問題点としては、
・リスク値９が高すぎる・・・この手法では受容可能リスク値１０までしか運用できない
・「資産価値」×「脅威」×「ぜい弱性」の掛け算にしない・・・ではどのように評価するか？
・あくまでリスク値は参考値と考え、高いリスク値はその都度検討するようにシステムを変更する・・・これが一番現実的か？


あまりリスク評価手法を難しくしてしまうと、だれも出来ないような複雑怪奇なリスクアセスメントになってしまいます。実際現状でも、リスク算定表（情報資産台帳）がややこしすぎて、各部の担当者が監査のためだけに作っているような有り様。
またデジュールスタンダートに文句を言っても仕方ないのですが、規格で「リスクアセスメントで現在のぜい弱性対策を考慮する」などとなっているので、二重に対策を書くような状況になり、余計にリスク評価がややこしくなってしまいます。なぜOHSAS18000やISO14000のようにシンプルにできないのか。
さらに社内規定で、「リスク点が前回リスク評価より下がっていれば有効性がある」みたいにしたもんだからますます話は複雑怪奇に・・・

ちなみに私は現場部隊の１人にすぎず、認証取得はＩＳＯ事務局が行っております。ISMSの認証もすでに取得していますが、多忙などで運用は半分ほったらかしのような状態で、正直、とても有効に運用されているとは言えない状況です。
有効性を確認するなら、現場を監査して回るチームでも組んで定期的に抜き打ち検査したほうがよっぽど有効じゃないか！？と進言もしましたが、そんな金も人手もないと言う感じで、ネコに鈴を付けるのは誰だ状態。まあ実際やったらやったで、現場からは「とても規定通りには運用できない」と苦情があがることは目に見えてますが。
クリアデスクにしたって定期監査が迫ってきてやっと片付けはじめるような始末ですし。実際クリアデスクが遂行できるほどの場所的余裕がある事業所がどれだけあるのでしょう。できないならできないで別の方策を考えなければいけないのですが・・・机の上には山積みになっている資料。この資料の資産価値の分類、これは一体だれがやるのでしょう？資産の担当者を資産毎に明示？担当者が異動になったら全部書き換えるのでしょうか？

こんな状況ではたしてセキュリティは確保されるのかはなはだ疑問で、まあやってないよりはマシなんだと言い聞かせながらやっていますが・・・
以上現場の一担当者のグチでした。お目汚し失礼致しました。

補足日時：2008/01/12 16:39