私の会社では、情報セキュリティマネジメントシステム(ISO 27001:2005)を取得・運用しております。
リスクアセスメントを実施していくにあたって、つじつまが合わないというか困ったことが出てきました。
わかりやすくするため
財団法人 日本情報処理開発協会の
「ISMSユーザーズガイド-リスクマネジメント編-」
http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf
を使って運用するものとします。
ユーザーズガイド P32によると
リスク値=「情報資産の価値」×「脅威」×「ぜい弱性」 等となります。
そして例えば「受容可能なリスク値」を9未満と決めたとします。
そうすると、P33の表の水色部分において、対策を行うこととなります。
------------------------ここまでは良いのですが…
弊社では、同じような方式を採用して
なおかつ定期的にリスクアセスメントを行うこととしました。
もちろん今までのリスク(ぜい弱性)に対する対策は取ってあるとします。
そうすると、「情報資産の価値」=3以上、「脅威」=3、の資産の場合
「ぜい弱性」がいくつであろうとも、リスク値は9以上になってしまうのです!
自らコントロールできる値は「ぜい弱性」のみですから、
ありとあらゆる対策を取り、ぜい弱性を下げてあったとしても
いつまでたっても「受容可能なリスク値」(9未満)を満足できない
…というおかしな事になってしまうのです…
このユーザーズガイドの点数は、あくまで便宜的な数値、ということはわかっているのですが
じゃあどのようにリスクアセスメント手法を直せばいいか、良い方法が思いつきません…
うまく運用されている例がありましたらぜひご教示ください!
No.2ベストアンサー
- 回答日時:
質問者さんもお気づきのとおり、P33の図は一例に過ぎないので、必ずしも9未満にしなくてはいけないという事ではありません。
受容可能なリスクレベルは御社で決めればいいと思います。
レベルが高いものについては、レベル相当の対策が必要ですよという意味合いで良いはずです。
おそらく、リスク値9が本当に問題あるのかを調べてみてはどうでしょうか?全体として許容レベルが高すぎるのであれば、そこの見直しが必要かと思われます。
コンサルなどを使わずにISO27001を取得されるように見受けられますが、確実に取得する必要があるなら、コンサルに手伝ってもらったほうが効率もいいと思いますよ。コンサル料金は取得保証で200万程度です。一人で取得するには厳しすぎるものだと思うので、人件費と期間を考えればここでお悩みになられるより安いと思います。
この回答への補足
ご回答ありがとうございます。返信が遅くなりまして申し訳ありません。
確かに例示は一例に過ぎないので、自社に合ったようなリスクアセスメントにすれば良いのでしょうが・・・
しかし実際の運用に当たって、ガイド通りに運用して同じような壁に当たっている方もおそらくいらっしゃるのではないかと思い、実際問題どのように解決しているのか、生の声をお聞きしたくて質問を投稿させていただいた次第です。
問題点としては、
・リスク値9が高すぎる・・・この手法では受容可能リスク値10までしか運用できない
・「資産価値」×「脅威」×「ぜい弱性」の掛け算にしない・・・ではどのように評価するか?
・あくまでリスク値は参考値と考え、高いリスク値はその都度検討するようにシステムを変更する・・・これが一番現実的か?
あまりリスク評価手法を難しくしてしまうと、だれも出来ないような複雑怪奇なリスクアセスメントになってしまいます。実際現状でも、リスク算定表(情報資産台帳)がややこしすぎて、各部の担当者が監査のためだけに作っているような有り様。
またデジュールスタンダートに文句を言っても仕方ないのですが、規格で「リスクアセスメントで現在のぜい弱性対策を考慮する」などとなっているので、二重に対策を書くような状況になり、余計にリスク評価がややこしくなってしまいます。なぜOHSAS18000やISO14000のようにシンプルにできないのか。
さらに社内規定で、「リスク点が前回リスク評価より下がっていれば有効性がある」みたいにしたもんだからますます話は複雑怪奇に・・・
ちなみに私は現場部隊の1人にすぎず、認証取得はISO事務局が行っております。ISMSの認証もすでに取得していますが、多忙などで運用は半分ほったらかしのような状態で、正直、とても有効に運用されているとは言えない状況です。
有効性を確認するなら、現場を監査して回るチームでも組んで定期的に抜き打ち検査したほうがよっぽど有効じゃないか!?と進言もしましたが、そんな金も人手もないと言う感じで、ネコに鈴を付けるのは誰だ状態。まあ実際やったらやったで、現場からは「とても規定通りには運用できない」と苦情があがることは目に見えてますが。
クリアデスクにしたって定期監査が迫ってきてやっと片付けはじめるような始末ですし。実際クリアデスクが遂行できるほどの場所的余裕がある事業所がどれだけあるのでしょう。できないならできないで別の方策を考えなければいけないのですが・・・机の上には山積みになっている資料。この資料の資産価値の分類、これは一体だれがやるのでしょう?資産の担当者を資産毎に明示?担当者が異動になったら全部書き換えるのでしょうか?
こんな状況ではたしてセキュリティは確保されるのかはなはだ疑問で、まあやってないよりはマシなんだと言い聞かせながらやっていますが・・・
以上現場の一担当者のグチでした。お目汚し失礼致しました。
No.1
- 回答日時:
「受容可能なリスク値」を定めるときによく考え、妥当な基準にしなければなりません。
貴社で「9未満」と決めたのには、何かそれなりの根拠なり考えはあったのでしょうか。どこまでになれば受容可能であるか、幾つかの事例で検証してみてください。それが「受容可能なリスク値」を決める判断要素になるはずです。次に「自らコントロールできる値はぜい弱性のみ」とありますが、そんなことはありません。「脅威」に対しても打つ手はあります。
この回答への補足
ご回答ありがとうございます!
回答つかないだろうと思っていたのでとてもうれしいです(^-^)
基準「9未満」というのは、うちの会社の基準ではなくて、あくまで「日本情報処理開発協会」のユーザーズガイド
http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf
のP33 上段の「表2-16 リスク受容一覧の例(1)」からです。
>「自らコントロールできる値はぜい弱性のみ」とありますが、そんなことはありません。
>「脅威」に対しても打つ手はあります。
うーん、それは納得できませんが…
例えば、資産が「金銀財宝」 脅威が「どろぼう」 ぜい弱性が「家にカギをかけていない」とします。
「ぜい弱性」対策には、カギを2重にしたり監視カメラを付けたりして対応します。
「資産」対策には、もしかしたら財宝を手放す、という策もあるかもしれません。(リスク回避ですね)
「脅威」対策に対する対策は?どろぼうそのものを無くせばいいのでしょうか。
では、どろぼうを片っ端から捕まえて減らしていく?
そんな事は無理ですよね!脅威は外からやってくるんですから、コントロールは不可能です。
同じように、
資産:「サーバ内の顧客情報」 脅威「ハッカー・ウィルス等」 ぜい弱性「セキュリティ対策の不備」
この場合は、脅威は減らす事ができますか?ハッカーやウィルスをこの世から無くす事はできます?
そして、資産価値が「3」、脅威が「3」とします。(個人情報保護・ウィルス蔓延などを考えればこれくらいとなるはず)
セキュリティ対策を完璧なまで、これ以上無い!というくらいに行い、「ぜい弱性」を最上級の「1」とした場合でも、
リスク値は3×3×1=「9」、受容可能範囲を超えてしまいます。
従って、リスクアセスメント上では、いくら対策を打っても、リスク低減ができないことになってしまいます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- メディア・マスコミ ドコモ 最大529万件の情報流出か なんか毎年のようにある流出。誰が悪いの? 9 2023/03/31 17:30
- その他(職業・資格) 【資格】あらゆる資格(国家資格・民間資格)の強さの格付けランキングを作ってみました! 4 2023/02/11 16:56
- 外国株 SBI証券でidecoを検討しています。 SBI証券ホームページ(https://go.sbisec 1 2022/10/10 16:06
- FX・外国為替取引 メキシコペソのスワップ投資について(レバレッジ1) 10 2022/12/17 08:06
- 弁護士・行政書士・司法書士・社会保険労務士 翻訳された契約書の難解な日本語 2 2023/08/09 23:41
- クーポン・割引券 バスの定期券について 3 2022/04/13 22:02
- コンサルティング・アドバイザー 台湾内での商談反故への対応策を教えて下さい。 2 2022/08/01 07:42
- 政治 立民案で被害者救済を本当にできるのだろうか? 立民の限界を感じる。 特定財産損害誘導行為による被害の 3 2022/11/05 21:20
- 電気工事士 来月から電気管理技術者のお仕事を始める者です。東京電力パワーグリッドへ情報提供の依頼をする方法がTE 1 2022/06/27 06:48
- 弁護士・行政書士・司法書士・社会保険労務士 相続手続きの各分野における専門家について 1 2022/07/08 16:19
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ただでもらった商品は在庫に計...
-
結了決算書の資本金はどうした...
-
データは、会計上の資産に含ま...
-
公益法人会計の基金取崩の仕訳...
-
マンション管理組合の貸借対照表
-
本物の執事やメイドは日本に存...
-
リコース義務、買戻権、回収サ...
-
債務超過会社同士の合併
-
別会社に出資した場合のP/Lにつ...
-
貸倒引当金は資産か負債、貸倒...
-
負債総額って?
-
株式会社を引き継ぐことになり...
-
法人に対する預金封鎖について
-
貸借対照表
-
リスクコントロールとリスクマ...
-
docomoの自社株買いの財務戦略...
-
当座借越
-
自己資本と総資本
-
EBIT、NOPATの出し方
-
収益費用アプローチと資産負債...
おすすめ情報