JP
セキュリティアセスメントとは?実施手順から注意点まで詳しく解説
近年、サイバー攻撃は急増しています。NICT(国立研究開発法人情報通信研究機構)の大規模サイバー攻撃観測網「NICTER」によると、2022年に観測された攻撃関連通信は約5,226億パケット。2015年の約632億パケットから8倍以上に増加しています。※
このような状況下では、企業はサイバー攻撃や情報漏洩への対策として、セキュリティ体制をより一層強化しなければなりません。
出典:総務省|令和5年版 情報通信白書|サイバーセキュリティ上の脅威の増大
そこで役立つのがセキュリティアセスメントです。セキュリティアセスメントとは、企業や組織のセキュリティ対策を評価し、必要な対策を明確にする活動のことです。
本記事では、セキュリティアセスメントの概要や実施方法、ポイントや注意点について解説します。さらに、従来とは異なる方式でサイバー攻撃者視点でアセスメントを簡便・安価に行える「リスクスコアリング」もご紹介します。自社のみならず、グループ会社やサプライチェーンのセキュリティ監査・見える化に最適です。
目次
セキュリティアセスメントとは
企業が直面するセキュリティリスクは、日々複雑化・高度化しています。そのため、情報資産を保護し、信頼性を高めるための「セキュリティアセスメント」がますます重要視されています。
以下では、セキュリティアセスメントの基本的な意味と、それを実施する上で重要な「ISMS(情報セキュリティマネジメントシステム)」について詳しく解説します。
セキュリティアセスメントの意味
セキュリティアセスメントとは、組織が持つ情報資産に対するリスクを評価・査定し、必要な対策を明確にするプロセスのことです。
企業は日々、進化するセキュリティ脅威への対応に追われています。その中で、多くの企業が次のような課題に直面しています。
- 全体としてセキュリティが保たれているのか、わからない
- システムの更新やインシデント対応にあわせて、その都度対策を導入してきたが、適切に対策されているかわからない
- 業界の標準と比較して適切なのか、今後何をしたらよいのか知りたい
- 高度化した攻撃に対応するための高い専門性が必要となり、自社の知見での検討が難しい
- 費用対効果も見極めた対策を実施したいが、複数の有効な対策の中から何を優先すればよいかわからない
セキュリティアセスメントを適切に実施することで、セキュリティ上のインシデントを早期に発見できるようになります。
セキュリティアセスメントに不可欠なISMSとは
セキュリティアセスメントを実施する上で欠かせないのが、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)です。
ISMSとは、組織が持つ情報資産の流出を防ぎつつ、利用しやすい状態で保護する仕組みのことです。ISMSでは、情報セキュリティの3つの要素を定義しています。
- 機密性:許可された個人以外へ情報を開示しない状態
- 完全性:情報の改ざんや削除がされない状態
- 可用性:許可された個人が速やかに情報へアクセスできる状態
これらの要素は、互いにバランスを取ることが重要です。例えば、機密性や完全性を重視しすぎると可用性が損なわれ、業務の効率が低下する可能性があります。一方で、可用性を高めるあまり、誰でもアクセスできる状態になると、セキュリティリスクが高まります。ISMSでは、上記の3点をバランスよく設定することが求められています。
ISMSを構築・運用するには、国際規格ISO/IEC 27001が必要です。この規格は構築から改善までの指針を示しています。
セキュリティアセスメントが必要である理由
セキュリティアセスメントは、以下の観点から多くの企業で必要とされています。
- 情報資産の保護
- 信頼性の向上
- 法的・認証要件の遵守
- 業務の継続性確保
それぞれについて、詳しく解説します。
情報資産の保護
セキュリティアセスメントは、企業が保有する顧客情報や取引先データといった重要な情報資産を保護するために不可欠です。
情報資産に潜むリスクを特定し、適切な対策を講じることで、情報漏えいや改ざんといったセキュリティ事故を未然に防ぐことが可能です。
信頼性の向上
セキュリティアセスメントを適切に実施することで、組織はリスクを管理し、情報漏えいや改ざんを防ぐ具体的な対策を講じることができます。このような取り組みは、取引先や顧客に対して「情報管理が適切で信頼できる企業」という印象を与え、企業のブランド価値や信用力の向上にも寄与します。
セキュリティ対策を徹底することは、競争力を維持するためにも欠かせません。
法的・認証要件の遵守
ISMS認証を取得するためには、リスクアセスメントの実施が必須です。
ISMS認証は、ISO/IEC 27001の要求を満たした情報セキュリティ運用が行われているかを、認証機関が審査するものです。つまり、国際規格に基づいた情報セキュリティの維持・改善の仕組みが整備されていることを、第三者から客観的に認められる証明となります。
これにより、国際基準に準拠した情報管理を示すだけでなく、関連する法的要件への対応や利害関係者への信頼性向上にも役立ちます。適切なリスク管理を実施していることを明確にする手段としても効果的です。
業務の継続性確保
リスクを適切に評価し、対策を講じることで、セキュリティ事故の発生リスクを抑えられます。さらに、万が一事故が発生した場合でも、事前の対策によって被害を最小限に抑え、迅速な復旧が可能です。
こうした取り組みは、業務の安定した継続を支える上で重要な要素です。
セキュリティアセスメントの実施手順
セキュリティアセスメントを効果的に進めるには、以下の手順を順に実施することが重要です。
- 情報資産の把握
- 情報資産のリスクの分析・評価
- セキュリティリスクへの対応
- アセスメントプロセスの見直し・改善
これらの手順を通じて、セキュリティ対策の抜け漏れを防ぎ、リスクを軽減する仕組みを構築できます。以下で、それぞれのステップについて詳しく解説します。
1. 情報資産の把握
セキュリティアセスメントの第一歩は、自社の情報資産を正確に把握し、情報資産管理台帳にまとめることです。情報資産とは、組織にとって価値があり、管理責任を伴うすべての情報を指します。
情報資産を洗い出す際は、業務フローに沿って確認し、業務で扱う書類やデータ、使用するシステムを漏れなく把握します。
【情報資産の種類】
紙情報:契約書や名刺など紙媒体に記載された情報
電子データ:コンピュータ上のファイルやデータベース
ハードウェア:PCやサーバーなどデータを保存・操作する機器
ソフトウェア:会計ソフトや管理ツール
クラウドサービス:外部のオンラインストレージやアプリケーション
これらの情報が保存されている媒体や場所も確認して、適切なリスク対策を講じる準備を整えましょう。
2. 情報資産のリスクの分析・評価
情報資産ごとのリスクを分析し、その結果をもとに対応の優先順位を決定します。特に「機密性」「完全性」「可用性」の観点で評価し、リスクの発生頻度や脆弱性と合わせて総合的に分析することが重要です。
例えば、機密性の高いデータを保管しているファイルサーバーで、適切なアップデートが行われていない場合、セキュリティリスクは高いといえます。
具体的な方法については「2. リスクの評価・分析の方法」で解説します。
3. セキュリティリスクへの対応
分析・評価した結果をもとに、セキュリティリスクへの対応策を実施します。主なアプローチ方法は、以下の4種類です。
- リスク低減:リスクの発生率や影響度を最小限に抑える。
- リスク回避:リスクのある業務フローを変更する。
- リスク移転:外部業者へ業務を委託をしたり、保険に加入したりする。
- リスク保有:優先度が低いため、直近での対応は見送る。
発生頻度が低かったり、影響が小さかったりするリスクは、直近での対応を見送るという選択肢もあります。最悪の事態を避けるためにも、まずは優先度の高いリスクに対し、迅速に対応していくべきです。
4. アセスメントプロセスの見直し・改善
セキュリティリスクの発生頻度や影響度は、時間の経過や自社の状況変化によって変化します。また、事業拡大や新規プロジェクト開始に伴い、新たなリスクが発生することもあるでしょう。そのため、セキュリティアセスメントは定期的に見直し、アップデートすることが重要です。
例えば、以下のようなタイミングで見直しを実施するとよいでしょう。
- 半年〜1年ごと、といった定期的な見直し。
- 新しい事業や業務フローの変更が発生したとき。
- サイバー攻撃・セキュリティに関する動向が変化したとき。
リスク状況を継続的に見直すことで、変化に対応した適切なセキュリティ体制を維持できます。
2. リスクの評価・分析の方法
ここでは、先述した「情報資産のリスクの分析・評価」について、以下の項目に沿って詳しく解説します。
- 情報資産の重要度を算定する
- リスクの発生率を算定する
- 情報資産の脆弱性を評価する
- リスク値を算出し、優先順位を決める
1. 情報資産の重要度を算定する
情報資産の重要度を算定するためには、まず「機密性」「完全性」「可用性」の3つの要素をそれぞれ評価します。この評価は、3段階のスケール(1、2、3)を用いて実施します。
各要素の評価値のうち、最も高い値がその情報資産の重要度です。評価値が高いほど、その情報資産が事業に与える影響が大きく、優先的な管理や対策が求められます。
以下では、「機密性」「完全性」「可用性」のそれぞれについて具体的に説明します。
・機密性機密性では、情報が漏洩したり、不正利用されたりした場合の影響を評価します。
<判断基準の例>
| 評価値 | リスク | 情報資産の概要 | 情報資産の例 |
|---|---|---|---|
| 3 | 高 | 法律で管理が義務付けられている、または漏洩時に自社や取引先へ深刻な影響を与える情報 |
・個人情報 ・営業秘密 ・特許出願前情報 |
| 2 | 中 | 漏洩時に事業へ大きな影響を与える情報 |
・見積書 ・仕入価格 |
| 1 | 低 | 漏洩しても事業にほとんど影響がない情報 |
・自社製品カタログ ・公開済み情報 |
完全性では、情報が改ざんされた場合の影響や損失を評価します。
<判断基準の例>
| 評価値 | リスク | 情報資産の概要 | 情報資産の例 |
|---|---|---|---|
| 3 | 高 | 法律で安全管理が義務付けられている。改ざんが深刻な影響を与える情報 |
・個人情報 ・製造受託された設計図 ・取引先の口座情報 |
| 2 | 中 | 改ざんが事業に大きな影響を与える情報 |
・自社の会計情報 ・契約情報 ・受発注情報 |
| 1 | 低 | 改ざんされても影響がほとんどない情報 | ・廃版製品のカタログ |
可用性では、情報やシステムへのアクセスが制限された場合の影響度を評価します。
<判断基準の例>
| 評価値 | リスク | 情報資産の概要 | 情報資産の例 |
|---|---|---|---|
| 3 | 高 | 利用できなくなると自社や顧客に深刻な影響を与える情報 |
・ECサイト ・クラウドサービス |
| 2 | 中 | 利用できなくなると事業運営に大きな影響を与える情報 | ・サービスや商品に関連するオンラインコンテンツ |
| 1 | 低 | 利用できなくても事業にほぼ影響がない情報 | ・廃版製品のカタログ |
2. リスクの発生率を判定する
続いて、各情報資産のリスクの発生率を判定します。判断基準の例は以下のとおりです。
<判断基準の例>
| 評価値 | リスクの発生率 | リスクの発生頻度 |
|---|---|---|
| 3 | 高 | 頻繁に発生する |
| 2 | 中 | 頻度は高くないが、発生する可能性はある |
| 1 | 低 | 滅多に発生しない |
3. 情報資産の脆弱性を評価する
続いて、情報資産が適切に管理されているかどうかを基準に、リスクを評価します。
<判断基準の例>
| 評価値 | 脆弱性 | 管理状態 |
|---|---|---|
| 3 | 高 | 適切に管理されていない |
| 2 | 中 | ある程度適切に管理されているが、改善点もある |
| 1 | 低 | 適切な管理状態を維持している |
4. リスク値を算出し、優先順位を決める
これまでの評価値をもとに、リスク値を算出します。計算式は以下のとおりです。
リスク値 = 重要度 × 発生率 × 脆弱性
計算の結果、リスク値が高い情報資産ほど、対策の優先順位は高くなります。以下のように基準を設けてグルーピングすることで、リスクの分類が容易になります。
<基準例>
| リスク値 | 優先順位 |
|---|---|
| 18以上 | 早急に対応する |
| 9以上 | 対応する |
| 4以上 | 対応の可否を検討する |
リスク評価をもとに対応計画を策定することで、根拠に基づいた。
新たに追加されたセキュリティアセスメントの評価項目4つ
セキュリティアセスメントでは、情報通信の発展・変化に伴い、既存の3要素に加えて、新たに4つの要素が注目されています。
- 真正性
- 信頼性
- 責任追跡性
- 否認防止性
必要に応じて、リスク評価でこれらの要素を考慮することも検討しましょう。
1. 真正性
真正性とは、情報にアクセスしたユーザーが、アクセスを許可された人物本人であることが明確な状態のことです。
例えば、悪意のある第三者によってなりすましをされている状態は、真正性が損なわれているといえます。真正性を確保するためには、デジタル署名や生体認証など、アクセス者が正当な権限を持つ本人であることを確認できる仕組みが必要です。
2. 信頼性
信頼性とは、システムがエラーなく意図した通りに処理を実行できることを指します。信頼性の低いシステムでは、頻発するバグが不正アクセスのリスクを高める要因となります。
これを防ぐためには、システム設計時に入念なテストを実施し、脆弱性に関するレビューを行い、必要に応じた修正を重ねることが重要です。これらの取り組みにより、信頼性の向上とセキュリティリスクの軽減が期待できます。
3. 責任追跡性
責任追跡性とは、操作ログなどから原因となった行動を追跡できることをいいます。サイバー攻撃の技術は高度化が進んでおり、完全に被害を防ぐことは困難です。そのため、攻撃者の行動履歴を明らかにし、詳細に検証できるようにしておかなければなりません。
責任追跡性を高めるためには、ファイルへのアクセスログ、端末操作ログなどを記録できるようにする必要があります。被害の実態や問題を明らかにし、再発防止に努める体制を整えましょう。
4. 否認防止性
否認防止性とは、問題発生時に原因となった人物が自らの行動を否定できないよう、確実な証拠を記録することをいいます。
例えば、操作ログによって問題の原因となったユーザーを特定できたとしても、それだけでは十分な証拠にはなりません。そのユーザーが「自分のアカウントがサイバー攻撃で乗っ取られていた」と主張する可能性があるためです。
このようなリスクを防ぐためには、入退室日時や勤怠情報など、ユーザーの行動を裏付ける追加の情報を記録し、照合できる仕組みが必要です。加えて、デジタル署名の導入は、否認防止性をさらに強化する有効な手段となります。
セキュリティアセスメントを実施する際の注意点
セキュリティアセスメントを効果的に行うためには、次のポイントに注意することが重要です。
- 漏れが発生しないように注意する
- 委託先の外部業者のリスクも把握する
順番に解説します。
漏れが発生しないように注意する
情報資産やリスクの洗い出しに漏れがあると、重大なセキュリティ事故につながる可能性が高まります。そのため、見落としがないようにすることが重要です。
ただし、セキュリティアセスメントには、高度な知識が求められるため、完全に抜け漏れを防止することは困難です。適切な管理を実現するためには、専門家にアセスメントを依頼することも検討しましょう。
委託先の外部業者のリスクも把握する
セキュリティアセスメントでは、自社だけでなく、外部業者によるリスクも考慮する必要があります。
例えば、業務委託先に共有した情報が適切に管理されていない場合、情報漏洩やセキュリティ事故を引き起こす可能性があります。委託先でセキュリティ事故が起こると、委託元である自社が責任を問われるだけでなく、サプライチェーン全体の安定性が損なわれるかもしれません。
また、委託先のセキュリティ対策が不十分な場合、委託先のシステムが不正アクセスの踏み台にされるリスクがあります。そのため、業務委託先のセキュリティ対策状況を定期的に確認し、必要に応じて改善を求めることが重要です。
総合リスクマネジメントサービス「リスクスコアリング」の特長
WideAngle「リスクスコアリング」は、自社のセキュリティ状況を詳細にスコアリングし、外部の脅威に対する効率的な対策を可能にするサービスです。
従来のアセスメント手法とは異なり、サイバー攻撃者と同じ視点でICT環境を評価します。この合理的なアプローチにより、実施中のセキュリティ対策の抜け漏れを第三者目線で可視化・監査できます。
【リスクスコアリングの特長】
- 簡単操作:調査対象のドメイン情報を提示するだけでスコアリングが可能。従来の関連ドキュメントのレビューやヒアリングは不要。
- 分かりやすい診断レポート:業界平均との比較やリスク対策の推奨サービスを提供。業界平均を上回ることで、攻撃意欲の低減も期待できる。
- 選べるプラン:スポット診断(1回)と定期診断(毎月レポート提供)の2プランを用意。
- 継続的なリスク管理:定期診断を通じてリスクの推移を把握し、対策状況を確認可能。
- サポート体制充実:診断結果に基づく解説や問い合わせ対応を提供。
- オプションサービス:個別アドバイスやレポートの詳細な解説を利用可能。
WideAngle リスクスコアリングは、詳細な分析と手厚いサポートにより、正確かつ実用的なスコアリングを実現します。
まとめ
導入方法や詳細については、お気軽にお問い合わせください。
セキュリティアセスメントの実施により、セキュリティインシデントを早期に発見し、リスクを適切に管理することが可能です。重要なのは、漏れなくリスクを認識し、継続的に対策を講じることです。
ただし、人手によるリスクの可視化では抜け漏れが発生しやすく、見落としが重大なセキュリティ事故につながる可能性があります。
「リスクスコアリング」を導入することで、より効果的なアセスメントを実現できます。詳細や導入に関するご相談は、ぜひお問い合わせください。