「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
プロセスは、PMPのリスク・マネジメントとほぼ同じ。
≒ リスク・マネジメントの計画プロセスのリスク対応計画以前
≒ リスク・マネジメントの計画プロセスのリスク対応計画
≒ リスク・マネジメントの実行プロセス
≒ リスク・マネジメントの監視・制御プロセス
リスクの概念 †
リスク=不確実性
投機的リスク †
(能動的リスクとも言う)
為替、株価のような、
好機と脅威(利益と損失)
の両方の可能性のあるリスク。
純粋リスク †
- 脅威(損失)のみを含むリスク。
※ 好機(利益)は含まない。
直接損失 †
間接損失 †
- タイムラグの有る間接的な損失
- 業務中断、信用失墜などの収益損失
- 賠償金、罰金などの責任損失
対応損失 †
情報リスク †
間接損失の影響 †
リスク・アセスメント †
目的 †
リスク・アセスメント ≒ リスク・マネジメントの計画プロセスなので、
- 効果的な、セキュリティ対策プランを導き出す。
- 限られた予算を有効活用して、最大限の対策効果を得る。
用語 †
リスク・レベル †
リスクの大きさ
リスク基準 †
重大性を評価する条件
リスク・アセスメント †
以下の体系(≒ リスク・マネジメントの計画プロセス)
リスクが顕在化した際の対応(対応計画に従い対応)
リスク所有者 †
オーナーがアカウンタビリティ(担当、権限)を持つ。
リスク受容 †
- リスク対応の中の受容の意思決定。
- 受容後はモニタリング対象になる。
残留リスク †
- リスク対応後も残留するリスク。
- 特定されていないリスクも含む。
- 残余リスク、保有リスクとも呼ぶ。
リスクアセスメント手法 †
ベースライン・アプローチ †
- 概要
基準やガイドラインに基づくリスク分析を行う。
- デメリット
- 大まかな分析になる。
- 主観によりバラつく。
- 質問表の品質に左右される。
非公式アプローチ †
- メリット
属人的なので分析者の能力が高ければ
高品質な分析結果になる。
- デメリット
属人的なので分析者の能力が低ければ
低品質な分析結果になる。
詳細リスク分析 †
- 概要
- ベースライン・アプローチの逆の特徴。
- 所謂、リスクの定性分析と定量分析で、
情報資産、脅威、脆弱性から分析・評価を行う。
- デメリット
- 詳細な分析になる。
- 抜けや偏りがない。
- 客観的な評価が可能。
組合せアプローチ †
- 概要
- 全体をベースライン分析で
- 重要部分を詳細リスク分析で
- メリット
- コスパの最大化
- 重要な情報資産については詳細に分析評価可能。
- デメリット
- 全体のベースラインで重要部分の誤認識が発生し得る。
- この、重要部分の判断次第で結果が大きく変わってしまう。
リスク分析評価手法 †
分析手法 †
- ツール
- リスク分析ツール
チェックリストのソフトウェア化
- 脆弱性調査ツール
ドキュメントレビュー法、現地調査法のソフトウェア化
評価手法 †
手順 †
リスク分析範囲の決定 †
ISMSの「ステップ1:適用範囲・境界の定義」のリスク版
- 適用範囲(組織, 情報システム, etc.)
- 境界定義(事業, 組織, 拠点, etc.)
- 最初は限定的に実施し、徐々に対象範囲を広げていく。
対象とする情報資産の種別の決定 †
情報資産の洗出 †
情報資産の分類 †
リスクの洗出 †
↓ ↓ ↓
# | 情報資産 | 脅威 | 脆弱性 | 想定されるリスク |
1 | ... | 設備 ▼ | ▼ 災害 | ... |
2 | ... | 技術 ◀ | ▶ 障害 | ... |
3 | ... | 管理 ▲ | ▲ 人的 | ... |
リスクの大きさの評価 †
情報資産 | 脅威 | 脆弱性 レベル | 想定されるリスク |
名称 | レベル | 内容 | レベル | 機密性 | 完全性 | 可用性 |
xxx | ・機密性:a ・完全性:b ・可用性:c | yyy | x | y | axy | bxy | cxy |
- 対応費用
- 損失資産の再購入
- 復旧に伴う人件費
- セキュリティ対策瀬品の購入費用
- リスク強度(年間損失額)
=(直接損失+間接損失+対応費用)*リスク顕在化頻度
リスク対応 †
リスク対応方法の洗出 †
純粋リスク(脅威)に対する戦略には以下のモノがる。
戦略 †
- 受容
回避・低減の残留リスクの受容と、
なにもしないで受容のパターンがある。
リスク・コントロール †
- リスク分離(分割)
情報資産など影響を受ける対象の分割(≒損失軽減)
- リスク集中(結合)
情報資産など影響を受ける対象の結合(+損失予防)
※ 脆弱性に対する対応。
リスク・ファイナンシング †
リスク対応の実施 †
セキュリティ・ポリシ策定 †
概要 †
効果 †
- 費用対効果の向上
リスクに応じた適切なセキュリティ対策を施す。
基本構成 †
- ISMSの基本方針
情報セキュリティのための方針群は、
- 管理層が承認・発行し、
従業員及び外部関係者に通知すること。
- その有効性や適切性を維持するため、
定期的に、又は重大な変化が発生した場合にレビューすること。
- 対策基準
基本方針を実践(適切な情報セキュリティを確保・維持)する
遵守事項や対策基準
- 対策実施手順、規定類
情報資産の特徴を考慮した詳細な手続、手順
- ピラミッド
- 基本方針 ┬情報セキュリティポリシ
- 対策基準 ┘
- 対策実施手順、規定類
留意事項 †
例(...の責任者)
- 監査部門
- 法務部門
- 人事部門
- 教育部門
- 営業部門
- 事業部門
- 広報部門
外部専門家の活用 †
各種明確化 †
- 情報資産
- 適用対象者
- 目的と罰則
- 主体と表現
- 運用方法
- 情報資産
- 情報資産
- 情報資産
セキュリティの組織体制 †
ISMSの要求事項 †
A.6 情報セキュリティのための組織
A.6.1 内部組織 目的
組織内で情報セキュリティの実施及び運用に着手し,
これを統制するための管理上の枠組みを確立するため。
情報セキュリティの役割及び責任 管理策 †
A.6.1.1 情報セキュリティの役割及び責任 管理策
全ての情報セキュリティの責任を定め,割り当てなければならない。
(特に重要で責任はポリシに明記する必要がある。)
職務の分離 †
A.6.1.2 職務の分離 管理策
相反する職務及び責任範囲は,
組織の資産に対する,
認可されていない若しくは意図しない
変更又は不正使用の危険性を低減するために,
分離しなければならない。
(利益相反関係下での中立性の維持は、立場の分離によってのみ実現される。)
関係当局との連絡 †
A.6.1.3 関係当局との連絡 管理策
関係当局との適切な連絡体制を維持しなければならない。
(関係当局=インシデントがあった場合に関係する内外の組織)
専門組織との連絡 †
A.6.1.4 専門組織との連絡 管理策
情報セキュリティに関する研究会又は会議,
及び情報セキュリティの専門家による協会・団体
との適切な連絡体制を維持しなければならない。
プロジェクトマネジメントにおける情報セキュリティ †
A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ 管理策
プロジェクトの種類にかかわらず,
プロジェクトマネジメントにおいては,
情報セキュリティに取り組まなければならない。
役割の例 †
CISO(最高情報セキュリティ責任者) †
- CISO : Chief Information Security Officer
- 企業・組織内で情報セキュリティ全般を統括する担当役員。
情報セキュリティ委員会 †
- 情報セキュリティマネジメントに関する意思決定を行う。
- 関する
- 全社的な方針・規程・施策などの承認
- 不予測事態発生時の対応方法(対外的対応、罰則の適用)
情報セキュリティ委員会事務局 †
関連部門から選出された担当者が、
情報セキュリティ委員会の事務局を運営する。
情報セキュリティ推進担当会議 †
- 各部門
- の部門長から、課長やリーダー層が担当者に任命される。
- での情報セキュリティ・マネジメントを推進する。
- インシデントの
発生状況の把握
対策指示
対策状況の把握
情報管理者 †
各部門内の情報管理者
情報システム管理者 †
情報システムの管理者
- 全社システム(情報システム部門の管理責任者)
- 部門システム(各部門の管理責任者)
CSIRT †
- CSIRT : Computer Security Incident Response Team
- 組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム。
- 情報セキュリティ委員会に並立する、若しくは下位の組織。
監査担当者 †
情報セキュリティの内部監査を行う。
外部の専門家 †
...。
セキュリティ(情報資産の管理) †
情報資産 †
情報資産の洗出 †
取り扱い方法の明確化 †
クライアントPC †
管理 †
セキュリティ対策 †
物理的・環境的セキュリティ †
物理的 †
環境的 †
人的セキュリティ †
インシデント管理 †
情報セキュリティ・インシデント
監査 †
セキュリティ監査 †
システム監査 †
規格 †
リスク・マネジメント †
- ISO/IEC 31000 : 2018, JIS 31000 : 2010
PDCAによる継続的改善のフレームワーク
リスク・アセスメント †
- ISO/IEC 31010 : 2009, JIS 31010 : 2012
リスク・アセスメントの体系的技法の
選択及び適用に関する手引きを提供する。
リスク分析評価手法 †
JRAM / JRMS2010 †
日本の一般財団法人JIPDECが開発した
リスク分析手法、リスクマネジメントシステム
- JRAM : JIPDEC Risk Analysis Method 2002
リスク分析手法
- JRMS2010 : JIPDEC Risk Management System
リスクマネジメントシステム
1992に発行、ISO31000:2009を取り入れ、
成熟度モデル、ギャップ分析の手法を導入。
CRAMM †
- CRAMM:CCTA Risk Analysis Management Methodology
- 英国のCCTAが開発したリスク分析手法&リスクマネジメント・システム