情報資産に付きまとうリスクを考える

情報資産、すなわち利を生み出す可能性のある情報は、IT化が進んだ現代において、ありふれたものとなりました。

企業において、例えば、取り引き先のリストや顧客情報、財務情報といった情報資産は企業が存続する上でなくてはならないものです。

しかしながら、情報資産に必ずつきまとうリスクを考えるひとは、情報資産を活用するひとに比べて非常に少ないです。

重要な情報資産を守るために、リスクを排除し、インシデントを防ぐための方法を知ることが必要です。

情報資産に対する脅威と脆弱性とはなにか
1. 例１、パスワードリストという情報資産
2. 例２、ユーザのメールアドレスリストという情報資産
リスクアセスメントとリスク対応とは何かを考える

情報資産に対する脅威と脆弱性とはなにか

まずは用語の説明をします。

情報資産に対する脅威とは、守るべき情報資産を脅かすものといった概念です。

情報資産に対する脆弱性とは、リスクを顕在化させるものといった概念です。

情報資産という言葉が抽象的であるため、脅威と脆弱性に関しても漠然としていて、具体的に定まりませんが、情報資産の例を出して、少し具体化させてみます。

例１、パスワードリストという情報資産

仮にパスワードリストと呼ばれる、社員のIDとパスワードを紐づけたファイルがあるとします。

パスワードリストは通常社内サーバに存在し、権限のあるユーザがイントラネット内からのみ閲覧可能である状態とします。

このパスワードリストに対する脅威は、権限のないユーザが閲覧しようとする行為、あるいはその人であるといえます。

また次のような状況、権限を持つユーザがパスワードリストをUSBフラッシュメモリにコピーしたとします。

ここでパスワードリストという情報資産に脆弱性が起こります。具体的に、権限のないユーザが社内イントラネット外から閲覧できるという脆弱性です。この脆弱性が起こった原因は、権限を持つユーザに所在するので、このような脆弱性を特に人的脆弱性と呼びます。

このとき、パスワードリストには上記の脅威と脆弱性が存在します。よって、この状況ではリスクが顕在化しインシデントが発生する可能性があります。

例２、ユーザのメールアドレスリストという情報資産

とある登録制ウェブサービスがあり、そこに登録しているユーザのIDとメールアドレスを紐づけたファイルを想定します。

ファイルは通常、閲覧できる人はおらず、ウェブサービスのサーバのみがこれにアクセスできるとします。

このメールアドレスリストに対する脅威は、悪意のある第三者がメールアドレスを盗み出そうとする行為であるといえます。

また、このウェブサービスに致命的なバグが存在し、SQLインジェクションによって任意のデータを閲覧可能な状態におけると仮定します。

するとここで、メールアドレスリストという情報資産に脆弱性が発生します。具体的に、SQLインジェクションによって本来アクセスすることのできないデータを閲覧可能である状態にすることができるという脆弱性です。このような脆弱性を技術的脆弱性と呼びます。

このとき、メールアドレスリストには上記のような脅威と脆弱性が存在するので、これもまたインシデントが発生する可能性があります。

以上の２つの例から脅威と脆弱性について理解が深まれば幸いです。

ここまでをまとめると、情報資産には常に脅威が存在し、そこに脆弱性が発生した場合、それらがリスクを顕在化し、インシデントに繋がるということがわかりました。

次に情報資産を守るための方法、リスクアセスメントについて紹介します。

リスクアセスメントとリスク対応とは何かを考える

リスクとは通常、潜在的であるため気づくことが難しいです。そこで、リスクを顕在化させないために、ないしはリスクを除去するためにリスクマネジメントの考え方が必要です。

リスクマネジメントに則った、具体的な手順を以下に示します。

リスク特定：リスクを発見すること。
リスク分析：リスクそれぞれの重要度を判定すること。
リスク評価：リスクそれぞれについて、対応するか、許容するかを順序付けて決定すること。
リスク対応：リスクを除去すること。

ここで、リスクアセスメントとは、１から３の手順の総称です。

ではまずリスクアセスメントについて詳しく見てみます。

リスクアセスメントの狙い

上記でリスクアセスメントとは、リスク除去のためのプロセスの一部であると説明しました。よって、リスクアセスメントの狙いを理解するには、リスクアセスメントを構成するプロセス一つ一つの目的を考えることが演繹的に有効であるといえます。

リスク特定はリスクを発見することですが、これは一番重要なことであるといえます。なぜなら、リスクを発見できなければ、それ以下の手順のリスク分析やリスク評価をするに至らないからです。対処する対象を明確にすることが先決であるというのは簡単に理解できると思います。

リスク分析はリスクの重要度を個別に判定することですが、ここで定量的に重要度を決定することによって、効率的にリスク評価に移行できるということを押さえてください。

リスク評価はそれぞれのリスクについて相対的に優先順位を決定し、どの順でリスク対応を取るかを決めることが最大の目的です。

よって、リスクアセスメントとはリスクを評価することで、リスク対応のヒントを導く行動であると言い換えてよいといえます。

リスクアセスメントの実際

リスクアセスメントを実務的にどのように行うかは、組織の規模や予算配分に左右されますが、その方法は大きく２つあるということを知ることは大切です。

まず、リスクアセスメントを効率よく行う方法として、ベースラインアプローチがあります。ベースラインアプローチとは、一般的に認識されているリスクについてあらかじめ評価しておき、その中でリスクを評価する手法です。

次に、リスクアセスメントを正確に行う手法として、詳細リスク分析があります。詳細リスク分析は、それぞれの組織の規模や実態に合わせて、リスクの特定や検証を行う手法です。

ベースラインアプローチには導入が容易であるという利点があり、詳細リスク分析には的確な結果が得られるという利点があります。また、ベースラインアプローチと詳細リスク分析を組み合わせた手法もあります。

リスクアセスメントが完了したら、リスク対応を行います。

リスク対応は実際にリスクに対して行動することですが、その手法はリスクアセスメントによって得られた結果をもとに柔軟に対応することが必要になります。では、リスク対応について詳しく見ていきましょう。

リスク対応の手段の選択

リスクを顕在化させないために実際に手段を講じるのがリスク対応ですが、すべてのリスクに対して等しいコストをかけることは望ましくありません。というのも、リスクは多数あると考えるのが必然であるし、そのすべての優先度が等しいとき以外には合理的ではありません。

リスク対応の手段は５つ、リスク回避、リスク軽減、リスク転嫁、リスク受容、リスクのエスカレーションで、リスクアセスメントによって得られた優先順位を考慮した上で、決定するのが常です。

リスク回避は、リスク発生源である情報資産に対して行う手法で、発生源ごと排除するというものです。

リスク軽減は、インシデントが発生した際に、損害を小さくする措置を施すことです。

リスク転嫁は、リスクを他の組織に転嫁することで、リスクの損害についても他に押し付けるという手法です。

リスク受容とは、リスクを受け入れることです。

リスクのエスカレーションとは、リスクを上位の組織等に報告することです。

あるリスクに対して、これらの手段の中から最適なものを選択する必要がありますが、ここで重要になるのが選択の理由付けです。漠然とした理由ではなく、定量的な理由による判断が必要です。