Symantec Security Response Weblog
“ISO/IEC 27005:2008 -- A New Standard for Security Risk Management」より
July 16,2009 Posted by Alessandro Deidda

 組織というものは,その種類にかかわらず情報セキュリティを損なう脅威にさらされている。その対処は,一般的にIT部門の最重要課題である。ここで述べる情報セキュリティ・リスク管理とは,あらゆる情報セキュリティ管理活動にとって必要不可欠な要素であり,情報セキュリティ管理システム(ISMS:Information Security Management System)の実装と運用の両方に適用しなければならない。現実問題として,情報セキュリティに対する組織の要件を見極め,効果的なISMSを作るには,情報セキュリティ管理に対する系統立てた取り組みが欠かせない。

 国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定した「ISO/IEC 27005:2008」は,リスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し,情報セキュリティ・リスク管理向けのガイドラインを提示するとともに,ISMS規格の「ISO/IEC 27001:2005」で規定された一般概念を補足している。このISOの情報セキュリティ・リスク管理プロセスは,組織全体に適用できる。組織内の各グループ(例:部門別,所在地別,担当サービス別など)やあらゆる情報システム,既存または計画中,特定の状況にある体制(例:事業継続計画)に当てはめられる。

 情報セキュリティ・リスク管理プロセスの構成要素と各要素の目的は以下の通り。

状況規定:リスク管理の境界を定義
リスク分析(リスク特定/評価の段階):リスクの程度を評価
リスク調査(リスク分析/評価の段階):意志の決定と,組織の目標考慮
リスク対応(リスク対応/許容の段階):リスクの低減,状態維持,回避,移動
リスク情報の伝達:意志決定の担当者とそのほかの関係者との間で,リスク情報の交換/共有を通じてどのようにリスクを管理/合意するか
リスク監視/レビュー:早い段階で組織の視点から好機を捉えることと,刻一刻と変わるリスク状況を随時把握しておくこと
図1●ISO/IEC 27005:2008リスク管理プログラム

 状況規定の段階で,情報セキュリティ・リスク管理に関する組織の全情報を規定する。具体的には,情報セキュリティ・リスク管理に必要な基本的判定基準の作成(リスク評価基準,影響評価基準,リスク許容基準など),範囲と境界の定義(関連する全資産,業務の対象とプロセス,戦略/ポリシー,組織や組織間に適用される法律上の制限や各種規制など),情報セキュリティ・リスク管理を担当する適切な部署の設立という作業が発生する。

 リスクを特定する段階では,情報資産の価値を決定し,実際に存在している(もしくは存在の可能性がある)脅威とぜい弱性を特定し,考えられる結果を見極める。この段階の構成要素は以下の通り。

・資産の特定(対象は状況規定段階で規定した範囲内):リスク調査に十分な情報を提供できる,適切な詳細さで資産を特定する。このときの詳細さが,リスク調査の際に集められる情報の総量に影響を及ぼす。詳細さは,後になって調査を繰り返す際に細かくできる

・脅威の特定:ここでは脅威を包括的にタイプで特定する(例:不正な行動,物理的な損害,技術的な失敗)。組織内でインシデントから得られる経験や,脅威に関する過去の調査を考慮する必要がある

・体制の特定:既存の体制を特定し,体制が正しく機能していることを確認する。リスク対応の実装計画に従って実装する体制は,実装済み体制と同じ方法で考慮しなければならない。既存および計画の体制を特定するためには,対象となる体制に関する情報の入ったレビュー用文書を作り,情報セキュリティの責任者および実際に体制を実装するユーザーとともにレビューし,現場で物理的体制のレビューを実施し,内部監査の結果をレビューする

・ぜい弱性の特定:脅威に悪用され,資産や組織に被害をもたらすぜい弱性を特定する

・結果の特定:インシデント・シナリオに従い,組織にもたらされる可能性のある被害や結果を特定する。インシデント・シナリオは,情報セキュリティ・インシデントで特定のぜい弱性や一連のぜい弱性を悪用する脅威について記述したものだ。インシデント・シナリオの影響は,状況規定の段階で作った影響評価基準をベースに決定する

 リスク評価の段階では,ある特定済みリスクについて発生確率と結果をデータ化する。この段階の構成要素は以下の通り。

・リスク評価の方法:リスクを評価する方法を決める。状況に合わせて定性的と定量的な方法と,両方を組み合わせた方法を使うだろう。定性的評価は,想定される結果の規模と起こりうる見込みを表現する尺度として,定性的な属性を利用する。定性的評価には,関係者全員に理解してもらいやすいというメリットがある。その一方で,尺度の主観的選択に影響されるというデメリットもある。定量的評価はさまざまな情報源から得たデータを利用し,結果と見通しを数値的な尺度で表現する(定性的評価は文章で表す)。この評価分析の善し悪しは,数値の精度および完璧度と,使用したモデルの有効性に左右される

・結果の調査:想定したもしくは実際の情報セキュリティ・インシデントで発生するであろう,結果や組織の事業が受ける影響を調査する(機密,データの保全性,資産の可用性が損なわれるといった,情報セキュリティのほころびによって起きる結果を考慮する)。結果の内容は,金額,技術/人的影響の評価基準,組織に関係するその他の評価基準で表現できるだろう。場合によっては,時間や場所,グループ,状況に合わせた結果を記述するために,複数の数値が必要になることもある。事業に対する影響度は,定性的および定量的な形式で表現できる。なお,金額で評価する方法は意志決定に利用可能な情報を多くもたらすことが多く,意志決定プロセスの省力化につながる

・インシデント見通しの調査:定性的または定量的な評価手法を用い,インシデント・シナリオと起こりうる影響ごとに見通しを調査する。その際,脅威の発生頻度とぜい弱性の悪用しやすさを考慮する必要がある

・リスク評価のレベル:(定量的または定性的な)数値をリスクの見通しと結果に割り当てる。評価済みリスクは,インシデント・シナリオの見通しとその結果の組み合わせで構成される

 リスク評価の段階では,リスクのレベルを(状況規定の段階で作った)リスク評価基準/リスク許容基準と比較する。意志決定に用いるリスク評価基準は事前に定義した外部/内部の情報セキュリティ・リスク管理状況と整合性がとれていて,組織の目標または事業プロセスの重要度,特定の資産や関係者の立場で支えられた活動などを考慮する必要がある。

Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「“ISO/IEC 27005:2008 -- A New Standard for Security Risk Management」でお読みいただけます。