Transcript 「リスク評価」とは

共通教育
「情報セキュリティ・モラル」
第6週 リスクアセスメント
学習内容
1. リスク
2. リスクアセスメント
2.1 情報資産の特定
2.2 リスク分析
2.2.1 情報資産の評価
2.2.2 リスク因子の評価
2.2.3 リスクの算定
2.3 リスク評価
2
本時の目標について
 一定の手順に従って，リスクを分析することで，
リスクの大きさを定量的に算出して，リスクを評
価することができることを理解すること。
 その一定の手順を実践することができるように
なること。
3
1. リスク
我々は，日常的に台風，地震その他の自然災害や
火災，停電その他の事故など，様々なリスクに晒され
ている。ところで，「危険性」と呼ばれることもある「リス
ク」とはどういったものをいい，それをどのようにすれ
ば評価することができるのであろうか。
4
リスクとは
「リスク」とは，ある脅威が，資産又はそのグループの脆弱性に
つけ込み，そのことによって個人又は組織に損害を与える可能性
をいう。
資産 個人又は組織にとって価値をもつもの。
脅威 個人又は組織に損害を与える可能性があるインシデント
の潜在的な原因。
脆弱性 一つ以上の脅威がつけ込むことのできる，資産又はそ
のグループがもつ弱点。
5
インシデントとは
「インシデント」とは，個人又は組織に損害を与える可能性のあ
る，予期しない又は望んでいない事象をいう。
なお，インシデントを「セキュリティ事故」ということもある。
インシデントは，適切な管理策を適用することで，その発生を未
然に防ぐことが可能である。ところが，単なる不注意が招いた事故
である「アクシデント」については，不注意が原因であるだけに，そ
の発生を未然に防ぐことは一般に困難である。
6
リスクの概念図
インシデント
脆弱性
（セキュリティホール）
脅威
7
リスクの例
 「コンピュータウイルス」という脅威が「ウイルス対策の欠
如」という脆弱性につけ込んで個人情報を漏えいさせ，
そのことによって，組織に「信用失墜」という損害を与え
る可能性
 「泥棒」という脅威が，「ドアの物理的保護の甘さ」という
脆弱性につけ込んで部屋に侵入し，資産を盗み出すこ
とによって，組織に財産的損害を与える可能性
 「地震」という脅威が「耐震性の欠如」という脆弱性につ
け込んで建物を倒壊させ，そのことによって，組織に人
的及び経済的損害を与える可能性
8
リスクの要因（参考）
（脅威）
守るべきもの
◆ 情報
（紙、電子媒体、ネットワーク上）
財務情報、人事情報、顧客情報、
戦略情報、技術情報 等
◆ 情報システム
IPA「情報セキュリティ読本改訂版」
教育用プレゼン資料より引用
コンピュータ（パソコン、サーバ、
汎用機）、 ネットワーク、通信設備
◆ 社会的信用
9
2. リスクアセスメント
リスクを管理しようとすると，まず最初に，リスクアセス
メントと呼ばれる作業をしなければならない。リスクアセ
スメントでは，情報資産を特定して，リスクの分析と評価
を行う。
10
リスクアセスメントとは
「リスクアセスメント」とは，情報資産を特定して，リスクを分析し
評価するプロセスをいう。
リスクアセスメント
情報資産の特定
リスク分析
情報資産の評価
リスク因子の評価
リスクの算定
リスク評価
11
リスクアセスメントの手順
(1) 情報資産の特定
（リスク分析）
(2) 情報資産の評価
(3) リスク因子の評価
(4) リスクの算定
(5) リスク評価
12
ステップの説明（その1）
(1) 情報資産の特定
リスクアセスメントの対象となる情報資産を洗い出す。
(2) 情報資産の評価
前ステップで特定した情報資産又はそのグループの価値を，他
の情報資産との間の依存関係を考慮して評価する。財務的な価値
換算が不可能な情報資産又はそのグループの価値は，重要性の
程度を示すレベルとして決定する。
(3) リスク因子の評価
情報資産に対するリスク因子を識別し，その大きさを評価する。
リスク因子の大きさは，その程度を示すレベルとして決定する。
13
ステップの説明（その2）
(4) リスクの算定
情報資産とリスク因子の評価に基づき，リスクの大きさを示す
リスク値を算出する。
(5) リスク評価
算出されたリスク値を与えられたリスク基準と比較することで，
リスクの重大さを決定する。
14
2.1 情報資産の特定
リスクアセスメントの最初のステップが，情報資産の
特定である。このステップでは，リスクアセスメントの対
象となる情報資産を洗い出す。
15
情報資産とは
「情報資産」とは，個人又は組織にとって価値をもつ
情報の記録物及びそれに関連する資産をいう。
※ 情報の記録物以外の情報資産には，「ソフトウェア
資産」，「物理的資産」，「サービス資産」，「人的資産」
及び「無形資産」がある。
16
情報資産の例示
資産の類型
例 示
情報の記録物
ファイル，データベース，契約書，システム文書，
利用者マニュアル，運用手順，サポート手順等
ソフトウェア資産
業務用ソフトウェア，システムソフトウェア，開発用
ツール，ユーティリティソフトウェア等
物理的資産
サービス資産
コンピュータ，通信装置，記録媒体等
計算処理サービス，通信サービス，一般ユーティ
リティ（空調，照明，電源等）
人的資産
資格，技能，経験等
無形資産
ノウハウ，信用，評判，イメージ等
17
2.2 リスク分析
情報資産の特定に引き続くリスクアセスメントのステッ
プが，リスク分析である。
「リスク分析」とは，情報資産とリスク因子を評価して
リスク値を算出することをいう。
18
2.2.1 情報資産の評価
リスク分析の最初のステップが，情報資産の評価で
ある。
このステップでは，情報資産又はそのグループの価
値を，情報セキュリティのCIAである機密性，完全性及
び可用性のそれぞれの観点から，他の情報資産との
間の依存関係を考慮して，重要性の程度を示すレベル
（資産価値レベル）として決定する。
19
情報セキュリティのCIAとは（参考）
「情報セキュリティ」とは，情報の機密性（confidentiality），完全
性（integrity）及び可用性（availability）を維持することをいい，機密
性，完全性及び可用性のことを，英語名の頭文字をとって「情報
セキュリティのCIA」と呼ぶ。
機密性 アクセスを認可された者だけが情報にアクセスすること
ができることを確実にすること。
完全性 情報が正確であること及びその処理方法が完全である
ことを保護すること。
可用性 認可された利用者が必要なときに情報及び関連する資
産にアクセスすることができることを確実にすること。
20
資産価値レベルについて
情報資産又はそのグループの価値を示すレベルで
あって，重要性の程度に応じて，数値（例えば1，2，3，
4）で表したものを，「資産価値レベル」という。
21
資産価値レベルの具体例
レベル
重要性の程度
1
機密性（完全性，可用性）が損なわれても，個人又
は組織への影響はほとんどない。
2
機密性（完全性，可用性）が損なわれると，個人又
は組織がかなりの影響を受ける。
3
機密性（完全性，可用性）が損なわれると，個人又
は組織がかなりの損害を受ける。
4
機密性（完全性，可用性）が損なわれると，個人又
は組織が甚大な損害を受ける。
22
Aさんの事例
山大生のAさんは，情報資産としてノートPCを所持し
ており，自宅や大学などでインターネットに頻繁に接続
し，様々な情報を収集したり，レポートの作成を行ったり
している。また，レポートの提出などで電子メールを利
用することも多く，ノートPC内のアドレス帳には，友人や
その他の人の氏名，メールアドレス，電話番号，住所な
どの個人情報が記録されている。なお，Aさんは，自分
のノートPCに対して，ウイルス対策を行っていない。
23
AさんのノートPCの資産価値レベル
他人に自分のノートPCを勝手に利用されたりすると，
個人情報を見られたりする可能性があるので，機密性
の観点では，資産価値レベルは「3」であると判断する
ことができる。
このレベルの判断は，個人情報を他人に見られると，Aさんが
相当に困る状況に追い込まれるという想定に立ったものである。
個人情報を見られることが，「かなりの損害を受ける」ことに相当
するのではなく，「かなりの影響を受ける」程度のことに留まるの
であれば，レベルは「2」ということになる。
24
2.2.2 リスク因子の評価
情報資産の評価に引き続くリスク分析のステップが，リスク因子
の評価である。
このステップでは，情報資産に対するリスク因子を識別し，その
大きさを評価する。リスク因子の大きさは，その程度を示すレベル
（リスク因子レベル）として決定する。
「リスク因子」とは，一般にはリスクにつながる物事や行動のこ
とであるが，ここでは，脅威と脆弱性のことをいう。
25
脆弱性とそれにつけ込む脅威の例
分 類
脆弱性の例
つけ込む脅威の例
環 境 ドア，窓等の物理的保護の欠如
及 び 不安定な電源設備
施 設 災害を受けやすい立地条件
盗難
ハード 温湿度変化の影響を受けやすいこと
ウェア 記録媒体のメンテナンス不足
故障，誤作動
洪水，地震
故障，情報流出
ウイルス対策の欠如
コンピュータウイルス
アクセスコントロールの欠如
なりすまし，不正アクセス，情報流出
ソフト
不適切なパスワード
ウェア
ログ管理の欠如
通 信
停電，誤作動
不正アクセス，情報流出
不正アクセス
バックアップコピーの欠如
復旧不能
保護されていない通信回線
盗聴
送信先（送付先）チェックの欠如
誤送信，誤送付
26
脅威の例（参考）
人為的脅威
意図的脅威
（D: deliberate）
故意の損害，盗難，機器の不正使用，
ユーザIDの偽り，不正なユーザによる
ネットワークへのアクセス，盗聴，トラ
フィック分析，メッセージの経路変更，
否認等
偶発的脅威
（A: accidental）
停電，断水，ハードウェ
アの故障，ネットワーク
構成要素の障害，送信
エラー，スタッフ不足等
環境的脅威
（E: environmental）
地震，台風，落雷，
埃，静電気，機器
の劣化等
火事，空調の故障，操作ミス，保守エラー，ソフトウェアの障害，ソ
フトウェアの不正又は違法な使用，悪意のあるソフトウェア，回線
の損傷，トラフィックの過負荷，通信サービスの障害等
電力の不安定
洪水，極端な温度又は湿度，電磁波放射，操作ミス，保守エラー，ソフトウェアの障害，
ソフトウェアの不正又は違法な使用，悪意のあるソフトウェア，回線の損傷等
27
Aさんの抱えるリスクの例
AさんのノートPCには，脅威として「コンピュータウイルス」が
あり，それがつけ込む脆弱性が「ウイルス対策の欠如」である。
従って，Aさんは，
コンピュータウイルスが，ウイルス対策の欠如につけ込んで
ノートPCに感染し，そのことによって，アドレス帳に記録された
個人情報を盗み出す可能性
といったリスクを抱えている。
28
AさんのノートPCに対する脅威等
脅 威
脆弱性
インシデント
コンピュータ
ウイルス
ウイルス対策の欠如 個人情報の漏えい
コンピュータ
ウイルス
ウイルス対策の欠如
不正アクセス
不適切なパスワード 不正行為の踏み台
復旧不能
バックアップの欠如
データの破壊
データの滅失
29
リスク因子レベルについて
脅威レベルと脆弱性レベルを総称して「リスク因子
レベル」という。
脅威レベル 脅威の大きさを，その程度に応じて，数
値（例えば1，2，3，4）で表したもの。
脆弱性レベル 脆弱性の大きさを，その程度に応じて，
数値（例えば1，2，3，4）で表したもの。
30
脅威レベルの具体例
脅威の評価に当たっては，脅威の発生頻度や攻撃者にとって
の情報資産の魅力などを考慮して，脅威レベルを判断する。
レベル
大きさの程度（発生頻度）
1
数年に1回程度発生する。
2
年に1回程度発生する。
3
月に1回程度発生する。
4
ほぼ毎日発生する。
31
脆弱性レベルの具体例
脆弱性の評価に当たっては，脅威がつけ込む容易さなどを考慮
して，脆弱性レベルを判断する。
レベル
大きさの程度
1
脅威が発生しても，ほぼ完全に防御することができる。
2
脅威が発生しても，ほとんど防御することができる。
3
脅威が発生しても，ある程度防御することができる。
4
脅威が発生すると，ほとんど防御することができない。
32
AさんのノートPCに対するリスク因子レベル
コンピュータウィルスはインターネット上に蔓延してい
るので，脅威レベルは「4」であり，ウィルス対策を施して
いないので，コンピュータウィルスに侵入されると確実に
感染してしまうことから，脆弱性レベルも「4」であると判
断することができる。
33
2.2.3 リスクの算定
リスク分析の最後のステップが，リスクの算定である。
このステップでは，情報資産とリスク因子の評価に基
づき，リスクの大きさを示すリスク値を算出する。
34
リスク値とは
「リスク値」とは，リスクの大きさであって，リスクが現実のイン
シデントとして顕在化する確率と顕在化したときの損失の大きさ
との組合せによって算定されるものをいう。
〔実際のリスク値算出式〕
リスク値＝「資産価値レベル」×「脅威レベル」×「脆弱性レベル」
〔AさんのノートPCに対するリスク値〕
算出式により，リスク値は3×4×4=「48」となる。
35
2.3 リスク評価
リスク分析に引き続くリスクアセスメントの作業が，リ
スク評価である。
「リスク評価」とは，算出されたリスク値を与えられた
リスク基準と比較することにより，リスクの重大さを決定
するプロセスをいう。
リスク基準 リスクの重大さを評価するための尺度。
36
リスクの重大さの決定について
対策を施すべきリスクなのか，それとも受容すべきリ
スクなのかを判断することを，「リスクの重大さの決定」
という。
対策を施すべきリスクと受容すべきリスクとを見極めるため，リ
スク評価では，リスク基準としてある一定の閾値（「リスクの受容
可能レベル」という。）を定め，リスク値がその閾値を超えるリスク
には対策を施し，そうでないリスクは受容するという判断をする。
37
リスクの受容可能レベルについて
〔採用値〕
リスクの受容可能レベルはいろいろな検討をした上で定められ
るものであるが，ここでは，「24」という値を採用することにする。
〔理由〕
ほぼ毎日発生する脅威に万一つけ込まれて，個人又は組織が
甚大な被害を受けてしまうのを避けるためには，「資産価値レベ
ル4の情報資産又はそのグループが，脅威レベル4の脅威をほぼ
完全に防御することができる状態（脆弱性レベル1）になっている」
ことが望ましい。これだと，リスクの受容可能レベルは「16」となる
が，少し余裕をもたせることが現実には必要なので，「24」とした。
38
リスク値早見表
脅威
1
2
3
4
脆弱性
1
資
産 2
価 3
値
4
1
2
3
4
1
2
3
4
1
2
3
4
1
2
3
4
1
2
3
4
2
4
6
8
3
6
9
12
4
8
12 16
2
4
6
8
4
8
12 16
6
12 18 24
8
16 24 32
3
6
9
12
6
12 18 24
9
18 27 36 12 24 36 48
4
8
12 16
8
16 24 32 12 24 36 48 16 32 48 64
39
AさんのノートPCに対するリスク評価
リスク値「48」はリスクの受容レベル「24」を超えているので，リ
スク「コンピュータウィルスが，感染により，アドレス帳に記録され
た個人情報を盗み出すという可能性」に対しては，何らかの対策
を施すべきという判断になる。
ウイルス対策ソフトを導入し，それを常に最新の状態になる
ようにしておけば，コンピュータウイルスの侵入をほとんど防ぐ
ことができるので，リスク値は「24」（=3×4×2）に下がり，この
リスクを受容することができる。
40
最後に
自分がもつ重要な情報資産（例えば，ノートPC，ファイル，ソフト
ウェア等）を取り上げ，その情報資産には，どのような脅威が存在
し，その脅威はどのような脆弱性につけ込もうとするのか，その結
果，どのようなインシデントが想定されるのかを，考えてみよう。
41
次回に向けての指示
■ 次回（最終回）の課題演習に向けて，自分がもつ，類型の異
なる情報資産を三つ（例えば，情報の記録物，ソフトウェア資産
及び物理的資産）取り上げ，それらの情報資産には，どのよう
な脅威が存在し，その脅威はどのような脆弱性につけ込もうと
するのか，その結果，どのようなインシデントが想定されるのか
を，考えておくこと。
■ 考えた事例について，リスク分析とリスク評価を行い，対策
が必要となるものについて，それを具体的に考えておくこと。
42