日常語ISO27001

リスクアセスメントの注意点

注：このページの内容は青字表記ですが、ISO27001には書かれていません。

　「リスクアセスメント学」という呼び方が許されるなら、リスクアセスメント学はかなり古くからある学問です。少なくとも50年くらいは昔からあるでしょう。この間リスクアセスメント学は、主に労働安全衛生や経営工学の分野で応用されてきました。筆者は主に労働安全衛生の分野でリスクアセスメントを学びました。

　ところが、情報セキュリティマネジメントシステムでリスクアセスメントをするやり方を書いた書物のうち、かなりたくさんがこの「リスクアセスメント学」の基本から外れているのが見受けられます。おそらく、通産省系の人物や、品質管理(ISO9001など)の経験しかない人物や、コンピューター業界からの参入者が、リスクアセスメントを苦手とするにも関わらず、自分なりに努力して書いてしまったためこんな事になっているのだと思われます。

　日常語：ISO27001では、このサイトの利用者だけでもリスクアセスメントの迷路に迷い込まない様に、２点ほど注意点を紹介致します。

１．
▼「事が起こった場合の重大さ」「脅威」「脆弱性」をそれぞれ掛け合わせるのはおかしい！

　「事が起こった場合の重大さ(CIAの喪失が及ぼす影響の大きさ)」、「脅威(狙われていたりする度合い)」、「脆弱性(今かかえている問題の程度：管理のレベルの低さ)」を各３～５段階程度に評価して、３要素を掛け合わせるというのは、かなり一般的に紹介されている手法です。

　おそらくJIPDEC(日本情報処理開発協会)の「ISMS構築ガイドライン」に掲載されている手法の為、各書物が追従したのでしょう。実際に筆者が受講した審査員研修のテキストでもこの手法が紹介されていましたが、リスクアセスメントの基本から外れている手法と言えます。

　リスクアセスメントの『基本』では、

　　　リスクの大きさ　＝　起こった場合に発生する事象の重大さ　×　発生する可能性

　で計算します。この時点では、よく紹介されている手法も基本から外れてはいません。但し、「重大さ」と「可能性」は同じ重さでかけるのが基本なのです。

　「よく紹介されている手法」では、”可能性”に当たる要素が２つ(脅威、脆弱性)ありますから、２乗でかかります。「情報に問題が発生したときの重大性」が過小評価されることになる評価方法となってしまうのです。筆者が受講した審査員研修でもこの点で議論が起こったのですが、その場では「あくまで、例だから。」という決着となりました。

　『基本』はあくまでも「基本」ですから、どんな場合にも外れてはいけないものではありません。ですから、よく紹介されている手法で評価して感覚的におかしくないならそれでも構わないでしょう。しかし、これだけおかしいと、多くの場合にそれで評価してみると「感覚とのズレが出る」と予想されます。

　問題を解消するためには、「重大さ」と「可能性」の満点を揃える事です。例えば、
　　１．「重大さ」の方は３点、６点、９点の３段階評価とする。
　　２．「脅威」×「脆弱性」を先に計算し、１～２→１、３～４→２、６以上→３と変換して、
　　　　その変換値と「重大性」を掛ける。
　　３．「重大さ」を１～５点、「脅威」を０～２点、「脆弱性」を１～３点で評価し、
　　　　「重大さ」×（「脅威」＋「脆弱性」）＝リスクの大きさ　という計算をする。　などなど。

　尚、筆者の経験上最も推奨できる評価段数は、『４段階』です(全てのケースで当てはまるわけではないので４段にはこだわらないで下さい)。

２．
▼Ｃ、Ｉ、Ａそれぞれに関するリスクを足したり、平均してはいけない。

　Ｃ（機密性）、Ｉ（完全性）、Ａ（可用性）に関するリスクの大きさはそれぞれ別物です。別物はリスクアセスメントをするときに、たし算したり、平均してはいけません。これは、上の『原則』よりももっと強い『御法度』に当たる事項です。

　例えば、それぞれ５段階評価で、Ｃ：５、Ｉ：１、Ａ：１と評価される情報があったとしましょう。この情報はつまり、何が何でも漏洩してはマズイ情報です。とても気を遣って取り扱わなければならないハズです。これとは別に、Ｃ：３、Ｉ：２、Ａ：２と評価される、まあ社外秘になっていれば何かあっても仕方ない情報があったとしましょう。なんと！！足し算や平均をすると、後者の方が大切な情報という事になってしまうではありませんか！

　違うリスクに対して、足し算をしてはいけません。

　それ以前に、「フロッピーディスクに入っている情報がコピーされてしまう」というリスクには、可用性上のリスクが全く存在しません。計算がややこしくなると思われます。

３．
▼「脅威」の評価基準が、発生頻度(予想される発生頻度)であってはいけない。

　「脅威」というのは、１．で述べたリスクアセスメントの基本の「発生の可能性」に影響を与える１要素です。多くの場合では、「脅威」と「脆弱性」から「発生の可能性」を導き出します。これはISO27001の4.2.1　ｅ）２）からも読み取る事が出来ます。それにもかかわらず、「脅威」の評価をするときに発生頻度で脅威をランク付けしてしまっている例がかなり多くみられます。”発生頻度”とはそのまま「発生の可能性」になってしまいます。そこに「脆弱性」を考え合わせたのでは脆弱性が２重に考慮されてしまう事になってしまいます。

　このやり方の元になったと思われるＤiscＰＤ　３００２には「世間で起こっている該当事件の発生頻度」を評価方法の一例にしていました。これならば話は通じます。世間で頻繁に起こっているならば、自社でも起ころうとする力が働きやすい事になりますので、それは脅威の指標となり得ます。どうも、これを日本に導入した時に誰かが間違えて、「世間で起こっている」という部分を落としてしまったものの様です。

　　※：DiscPD　３００２：イギリス規格協会の発行するBS7799適用解説書。3001から3005
　　　　　　　　　　　　　　　までのシリーズで、3002はリスクアセスメント方法の解説書

　出所はどうやら、どこかの公的機関の様です。かなり大手の審査員養成研修機関が出版するＩＳＭＳ事例集でもこの間違いを犯していました。それでは、その機関で訓練を受ける審査員が皆間違ってしまうので、日本のISMSにとって甚大な不利益となってしまいます。今では修正されているのかもしれませんが、たいへん困った事です。

　　　　　　　　　　　目次へ　　　　　　全体のトップへ

　