QCプラネッツ

【シンプルがベスト!】 ISMS,ISO27001リスクアセスメントがわかる

執筆者:

QCプラネッツ

カテゴリ:

本記事のテーマ

ISMS,ISO27001リスクアセスメントがわかる
リスクアセスメント表を
「MECE(もれなくかぶれなく)」 かつ「シンプル」
作らないと目的達成ができません
リスクアセスメントで疲弊しないためのコツを解説します!

実際に「リスクアセスメント表」を作成して、わかった重要なポイントを解説します。

  • ① 自分の首をしめがちなリスクアセスメント表
  • ② 【重要】リスクアセスメント表の作り方を解説!
  • ③ リスクアセスメントの目的はシンプルに「リスクを除去」すること

① 自分の首をしめがちなリスクアセスメント表

「リスクアセスメントは疲れる!」となっていませんか?

ISMSに限らず、マネジメントシステムでは、リスクを特定することが重要で、よくアセスメント表を作ります。

でも、重要と分かっていても「いいイメージ」ないですよね!

よくあるISMSリスクアセスメント表

よくあるISMSリスクアセスメント表を図にしてみます。
あなたの組織やあなたが担当するリスクアセスメント表も似たものではないでしょうか?

リスクアセスメント表の問題点

上図のリスクアセスメント表は

問題だらけで、
作り直した方がよいでしょう。

なぜか?
理由は簡単です!

このリスクアセスメント表を活用したいですか?
「No!」と思いますよね!
それが理由です!

ではどこが、いやと思うところかを解説します!

リスクアセスメント表の課題

図でまとめましたが、

  1. 脅威やリスクを挙げるとき、
    MECEかつ粒度をそろえないから、
    読み手が「なぜ?」と思いながらの活用    することになる
  2. 項目がMECEかつ粒度がバラバラなため、
    100個近くの項目と拡大しがち
    100個もリスク対応はやってられない。
  3. 課題と施策が単に裏返しで終わると、
    根本的な解決にならない。
  4. 点数付けに手間をかけるが、
    その値に意味はそもそもない。
  5. リスク対応として「受容」、「回避」、「低減」など、
    あいまいなレベルを入れがち。
    本来「除去」以外必要か?

なので、

「あるべき」リスクアセスメント表とはどういうものかを考える必要があります。

② 【重要】リスクアセスメント表の作り方を解説!

QCプラネッツがおススメな「リスクアセスメント表」の作り方を解説します。

リスクアセスメントは最もsimpleであれ!

簡単です!

ありがちなリスクアセスメント表の課題を解決すればよいのです。
  1. 脅威やリスクの項目化はMECEかつ粒度をそろえる
  2. 項目がMECEかつ粒度を維持しつつ最小限に抑える
  3. 課題を解決する施策を考える
  4. リスクレベルを最小限にする。

何と言っても

リスクアセスメントは最もsimpleであれ!

です。

よく、リスクレベルは「高」、「中」、「低」と三段階にしますが、
QCプラネッツからおススメしたいのは

リスクレベルは「高」、「低」の2段階にしてはいかがでしょうか?

そもそも、

リスクは「有無」の2つしかないし、
リスクが有れば、無くすことが重要だし、それ以外の活動は要らない。

くらいの割り切りが重要です。

リスクをMECEかつシンプルに分ける

情報セキュリティにおけるリスクをMECEかつシンプルに分けてみます。ここは、クリティカルシンキングが得意な人が担当するとベターです。

チームで決めたとか、上司の顔色伺うと、
自分の首を絞めるリスクアセスメント表になるので要注意です。

先ほどの、「よくあるしんどいリスクアセスメント表」では、リスク項目が次の16になっていました。

  1. 自然災害
  2. 火災
  3. 停電
  4. 断水
  5. ハードウェアの故障
  6. ネットワーク構成要素の技術的障害
  7. 操作ミス
  8. 保守的エラー
  9. 資源の誤用
  10. 盗難
  11. 記憶媒体の不正使用
  12. 不正な方法でのソフトウェア使用
  13. 悪意のあるソフトウェア
  14. 不正なユーザによるネットワークへのアクセス
  15. 不正な方法でのネットワーク設備の使用
  16. 違法行為

いかがでしょうか

リスクを項目に分けるにしては、
違和感があります。
MECE(漏れかぶれ)でないし、粒度もあっていないから

QCプラネッツも見た瞬間、思考停止になりました。

この表では表を管理するだけで精一杯で、
組織の情報セキュリティ対策まで
効果が出せるとは思えません。

16個の項目の問題点

  1. 「自然災害」、「火災」、「停電」、「断水」とあるが、
    「火災、停電、断水」は自然災害?人災?どちらとも読める。
  2. 「操作ミス」と「保守的エラー」は
    何が違う?同じ?
    同じ場合もあるのでは?

    3. 「記憶媒体の不正使用」、
    「不正な方法でのソフトウェア使用」、
    「悪意のあるソフトウェア」、
    「不正なユーザによるネットワークへのアクセス」
    「不正な方法でのネットワーク設備の使用」は
    その下にある
    「違法行為」と何が違う?同じ?

  3. などなど…

といろいろツッコミ所があると、リスクアセスメント表は使いたくないとなるはず。

リスクの分け方をQCプラネッツが提唱

リスクを層別していくと、次の項目分けを提唱します。

いかがでしょうか?

  1. MECEかつシンプルに層別した
  2. 層別すると8種類で済む
  3. 情報セキュリティのリスクは最終的には
    「情報破壊」と「情報漏洩」の2つである
  4. この層別で、「各リスク項目を列挙」しても、
    少ない項目で網羅的にリスク対策ができる
    (100項目にはならないはず)

リスクアセスメント表を提唱

先程、提唱したリスクアセスメント表をさらに書くと下表になります。

さらに、リスク前後は
3段階ではなく、2段階の
「高」と「低」だけとしてはいかがでしょうか?

どうでしょうか?

シンプルなわりに、網羅性の高いリスクアセスメント表と考えています。

是非、活用してみてください。

③ リスクアセスメントの目的はシンプルに「リスクを除去」すること

リスク評価・レベルは最小限でいい

リスク評価は、

  1. リスク受容
  2. リスク回避
  3. リスク低減
  4. リスク除去

など、いろいろありますが、

「リスク除去」
の1本立てでよいと考えますし、
リスクレベルは「高」と「低」
の2つでよいでしょう。

リスクアセスメントの目的を見失うな!

いろいろな声を聴いて
たくさんあるリスク評価
3以上あるリスクレベル
になる気持ちは十分わかりますが、

煩雑になるとISMS,ISO27001を有効に運用できなくなります。

他のマネジメントシステムより要求が多く、
煩雑になりがちな情報セキュリティだからこそ
1つ1つの対応はシンプルを追求しましょう。

リスクアセスメントですが、

リスクを除去すること。
煩雑なリスクアセスメント表に飲まれてはいけない!
リスク除去できればシンプルなアセスメントで十分!

手段が目的化するという履き違いがよく発生するところです。

まとめ

以上、「ISMS,ISO27001リスクアセスメントがわかる」を解説しました。

  • ① 自分の首をしめがちなリスクアセスメント表
  • ② 【重要】リスクアセスメント表の作り方を解説!
  • ③ リスクアセスメントの目的はシンプルに「リスクを除去」すること

投稿をさらに読み込む

error: Content is protected !!