リスクアセスメント
リスクを見つけ、分析し、対応の優先順位を決める一連のプロセス。
リスク管理の土台となる活動で、計画的な対策に役立つ。
情報セキュリティや事業継続の分野で広く使われる。
例:機密情報の流出や自然災害による業務停止などのリスクを洗い出し、評価する。
リスク特定
どのようなリスクが存在するかを見つけ出す作業。
発生の可能性や影響の有無にかかわらず、幅広く洗い出す。
脅威、脆弱性、資産、環境などを総合的に確認する。
例:社員のUSBメモリ使用による情報漏えいの可能性を特定する。
リスク分析
特定されたリスクについて、発生確率や影響度を定量的・定性的に分析する。
リスクの大きさを明確にすることで、適切な対応が可能になる。
ヒートマップなどで視覚的に整理することもある。
例:パソコンの盗難が起きた場合の被害金額や信用失墜の程度を分析する。
リスク評価
分析したリスクをもとに、どのリスクに対応すべきか優先順位を決定する。
リスクの許容範囲と照らし合わせて判断する。
対応の必要性を明確にする重要な工程。
例:影響が大きく頻度も高いリスクを最優先で対策する。
リスク対応
評価の結果をもとに、リスクをコントロールするための具体的な行動を決定する。
回避、移転、共有、保有など複数の選択肢がある。
コストや実現可能性も考慮して選ぶ必要がある。
例:クラウドに移行して災害リスクを軽減する。
リスク回避
リスクそのものを発生させないように行動を変更する。
根本的に問題を避ける方法。
リスクは減るが、業務機会も失われることがある。
例:外部ストレージの利用を全面的に禁止する。
リスク共有
他者とリスクを分担することで、影響の軽減を図る方法。
契約や保険などを通じて分散されることが多い。
複数の組織で同様のリスクに備えることができる。
例:サーバを共同で利用して障害時の影響を分散する。
リスク移転
保険や外部委託によって、リスクによる損害の責任や負担を第三者に移す。
完全に消えるわけではないが、金銭的損害を軽減できる。
移転先の信頼性確認が必要。
例:サイバー攻撃に備えてサイバー保険に加入する。
リスク分散
影響範囲を狭めることで、リスクの集中を避ける。
業務や資産を複数に分けて管理するのが一般的。
一部が影響を受けても全体への被害を抑える。
例:データセンターを複数の地域に分けて配置する。
リスク保有
リスクが小さい場合、特に対策を取らずに受け入れる方法。
コストや対策の難易度を考慮して選択される。
発生時の影響に備えて事前の準備をしておくことが重要。
例:一時的な業務停止は許容範囲として対策を講じない。
情報セキュリティマネジメントシステム(ISMS)
組織が情報セキュリティを継続的に管理・改善するための仕組み。
国際規格ISO/IEC 27001に準拠した運用が一般的。
リスクベースの管理が特徴。
例:企業が全社で情報漏えいリスクに対する方針や手順を定め、実行する体制。
情報セキュリティポリシー(情報セキュリティ方針)
組織としての情報セキュリティに関する基本的な考え方や対応方針をまとめた文書。
社員が共通の認識を持ち、行動を統一するために必要。
詳細なルールや手順書とセットで運用される。
例:社内文書に「外部記録媒体の使用禁止」などが記されている。
情報セキュリティの要素
情報を守るために確保すべき性質を示すもの。
「機密性」「完全性」「可用性」の3要素が基本。
近年では追加要素も重視される。
例:サーバのダウンを防ぐ「可用性」の確保。
機密性
許可された人だけが情報にアクセスできる状態。
第三者による盗み見や漏えいを防ぐ。
暗号化や認証が対策となる。
例:パスワード付きファイルで社外への漏えいを防ぐ。
完全性
情報が正しく保たれており、改ざんされていない状態。
不正な変更や破壊を防止することが重要。
チェックサムやデジタル署名などで確認できる。
例:送信中のファイルにエラーや改ざんがないかを検証する。
可用性
必要なときに情報やサービスが利用できる状態。
障害や攻撃によるサービス停止を防ぐことが求められる。
冗長構成やバックアップが有効な対策。
例:災害時でも利用可能なクラウドサービス。
真正性
情報や通信相手が本物であることを保証する性質。
なりすましや偽装を防ぐために必要。
電子証明書やデジタル署名が利用される。
例:Webサイトが正規の運営者かを証明するSSL証明書。
責任追跡性
誰が・いつ・何をしたかを追跡できる状態。
不正行為の発見や抑止に役立つ。
ログ管理や監査が重要な要素。
例:社内ネットワークの操作記録を保存して調査できるようにする。
否認防止
行った行為を後から否定できないようにする性質。
契約や指示などの証明が可能となる。
タイムスタンプや署名が利用される。
例:電子契約で送信者が操作した証拠を残す。
信頼性
システムや情報が意図通りに正しく機能する性質。
利用者が安心して活用できることが重要。
設計や運用の品質が影響する。
例:業務ソフトが想定通りに計算結果を出す。
情報セキュリティリスク
情報資産に損害を与える可能性のある脅威と脆弱性の組み合わせ。
放置すると業務や信頼に大きな影響を与える。
リスクアセスメントで管理する。
例:社員の誤送信によって機密情報が漏えいするリスク。
リスクコミュニケーション
リスクに関する情報を関係者と共有し、理解・対策を進める活動。
信頼関係の構築や対策の一貫性に役立つ。
対話や文書で行われる。
例:サイバー攻撃の可能性について社内で周知と対応策を話し合う。
情報セキュリティインシデント
情報セキュリティに関する事故や問題が発生した出来事。
ウイルス感染、漏えい、破壊などが含まれる。
発生時には迅速な対応と報告が必要。
例:パソコンに不審なファイルが自動で保存されていた。
継続的改善
PDCAサイクルを使って、情報セキュリティ対策を段階的に強化していくこと。
ISMSなどの仕組みに含まれる。
新たなリスクや環境変化に対応するために不可欠。
例:定期的にポリシーを見直し、新たな脅威への対策を導入する。
プライバシーマーク
個人情報保護体制が適切であることを示す認証制度。
一般財団法人日本情報経済社会推進協会(JIPDEC)が運営している。
一定の基準を満たすことで付与される。
例:企業のWebサイトにプライバシーマークのロゴが表示されている。
プライバシーポリシー(個人情報保護方針)
個人情報をどのように取り扱うかを明示した文書。
Webサイトやサービスの提供者が公開することが求められる。
法令に基づいた記載が必要。
例:「収集した個人情報は第三者に提供しません」といった明記。
安全管理措置
個人情報を適切に管理するための技術的・組織的な対策。
物理的な施錠やアクセス制御、社員教育などが含まれる。
漏えい、滅失、改ざんなどを防ぐ目的がある。
例:業務用ノートパソコンにパスワードと暗号化を設定する。
サイバー保険
サイバー攻撃や情報漏えいによる損害を補償する保険商品。
事故対応費用や賠償責任などが補償される。
リスク移転の一つとして活用されている。
例:ランサムウェア被害による業務停止に対して補償金が支払われる。