top of page
検索

情報セキュリティのための「リスク分析」あれこれ

  • 執筆者の写真: 舩生 好幸
    舩生 好幸
  • 6月3日
  • 読了時間: 4分

~「資産ベースのリスク分析」以外に簡潔な方法も~


投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2026.6.3


画像出典:写真AC:https://www.photo-ac.com/
画像出典:写真AC:https://www.photo-ac.com/

情報セキュリティ対策を決定するための「リスク分析」方法と言えば、


ISO/IEC27001情報セキュリティマネジメントシステム(ISMS)を構築する場合の、

・まず組織内の情報資産の洗い出しを行って、

・洗い出した情報資産ごとに「資産価値」「脅威」「脆弱性」を識別し、リスク値を算定し、

・それぞれに必要な情報セキュリティ対策を検討する。


といった「資産ベースのリスク分析」を思い浮かべる方も多いかもしれません。


このリスク分析手法では、情報資産ごとにきめ細やかに情報セキュリティ対策を決定できるメリットがある半面、実施に手間がかかるデメリットもあります。


リソースに制約のある中小の事業者様であれば、リスク分析などはなるべく簡潔に済ませ、組織や関係者を守るため、なるべく早く、身の丈に合った情報セキュリティ対策を進めたい、といったニーズもあると思われます。


そこで、本稿ではIPA(独立行政法人)発行「中小企業の情報セキュリティ対策ガイドライン」に基づき、中小の事業者様向けのリスク分析手法のいくつかをご紹介しましょう。


表紙「中小企業の情報セキュリティ対策ガイドライン」第4.0版
表紙「中小企業の情報セキュリティ対策ガイドライン」第4.0版

〇リスク分析の方法あれこれ

(「中小企業の情報セキュリティ対策ガイドライン」第4.0版・P.43「コラム」より)


まず、コラム冒頭部分をご紹介しましょう。


「コンピュータやネットワークを利用する時のリスクは、技術的な知識がないと分かりにくく、見落とすことがありますが、リスクがあることを知らずに対策を怠った結果、事故が起きてしまった、ということも多いので、リスク分析を通じて、適切な対策を導き出す必要があります。

一般的な4つのリスク分析方法を紹介しますので、事業やIT環境に適した手法を選択して活用してください。」


以下、リスク分析手法の解説です。


①ベースラインアプローチ

既存の標準や基準を参照して対策を検討する方法。


情報資産ごとに「資産価値」「脅威」「脆弱性」を識別しないため、簡単にできる方法であるが、参照する標準や基準によって、対策のレベルが高すぎたり、低すぎたりする場合がある。


例)「情報セキュリティ6か条」「5分でできる!情報セキュリティ自社診断」を参照して対策を実施する。



②非形式的アプローチ

組織や担当者の経験や判断によってリスク分析を行い、対策を検討する方法。


短時間に実施することが可能であるが、属人的な判断に偏るおそれがある。


例)システム管理者が情報セキュリティに詳しいIT製品のメーカー、保守ベンダーにアドバイスしてもらい対策を実施する。



③資産ベースのリスク分析

情報資産ごとに「資産価値」「脅威」「脆弱性」を識別し、対策を検討する方法。


個々の情報資産に適した対策が可能だが手間がかかる。


例)システムを構成する各資産(サーバー、端末、通信機器等)に対して、「資産価値」「脅威」「脆弱性」の3つを評価指標として、対策を検討・実施する。



④組み合わせアプローチ

複数の方法を併用し、それぞれの長所短所を補完する方法。

よく用いられるのは、ベースラインアプローチと非形式的アプローチの組合せ。


重要な情報資産に対する対策とその他の情報資産に対する対策とのバランスがとりやすい。


例)内部状況や外部状況、自社診断を参考に、社内の担当者の知見にて、自社に必要な対策項目を追加する。


(以上、「中小企業の情報セキュリティ対策ガイドライン」第4.0版・P43「コラム」に基づき構成。各解説文中には読みやすいよう改行を加えています。)


表紙「5分でできる!情報セキュリティ自社診断」
表紙「中小企業の情報セキュリティ対策ガイドライン」第4.0版

「中小企業の情報セキュリティ対策ガイドライン」第4.0版及び付録のダウンロードは無料です。IPAのサイトからどうぞ。)



まとめ:

情報セキュリティのリスク分析=「資産ベースのリスク分析」一択、と思っておられた方もいらっしゃるかもしれませんが、それ以外にもリスク分析の方法はあります。


とはいえ、「分析や実施の簡潔さ・容易さ」と「対策のきめ細やかさ」とはトレードオフの関係にある点はご注意ください。


例えば、中小の事業者様が組織的な情報セキュリティ対策をこれから始める、という場合であれば、


・最初はベースラインアプローチで速やかにリスク分析を行い、対策も決定し運用を開始。


その後、組織内の知識や経験値が高まったところで、


・資産ベースのリスク分析に取り組み、より緻密で効率的な情報セキュリティ対策に進化


といった段階的なアプローチも可能です。


以上、事業者様の実態に合わせて、無理のないリスク分析、そして役立つ情報セキュリティ対策へと、柔軟な取り組みのご参考になれば幸いです。


(Primary-f/向実庵 代表)



<ご案内>

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

コメント

bottom of page