システム リスクアセスメントとは?
厚生省のコンピュータ化システム適性管理ガイドにて、以下のようにシステム リスクアセスメントの記載があります。
システムアセスメントの実施
開発責任者は、開発、検証及び運用の各段階にて実施すべきそれぞれの内容を定めるために、コンピュータ化システム管理規定に基づき、原則として以下の事項を実施する。
(1) ソフトウェアカテゴリ分類
(2) 製品品質に対するリスクアセスメント
(3) 供給者アセスメント
引用:厚生省
このようにシステム リスクアセスメントは重要なのですが、しかし内容を理解されていない方もいらっしゃるのではないでしょうか。
この記事ではシステム リスクアセスメントについて詳しく説明していきます。
目次
システム リスクアセスメントの概念とは
システムを運用していると、システムにエラーが発生して、本来の目的とは異なる動作をさせてしまうことがあります。
例えば、データセンターが比較的低い電力レベルで運用されている場合、システムが故障するとコンピュータに保存されているデータが失われる可能性があります。
このシナリオは、サーバー自体がこの電力制限に対応できるように設計されていない場合にのみ発生します。
コンピュータシステムからの特定の情報に依存することはできないことを理解しておく必要があります。
特定のコンピュータシステムについて学んでも、どんなに努力しても、そのシステムで起こっていることをすべて理解することはできません。
それどころか、間違ったタイミングで間違った問題を見ているかもしれません。
そのため、システムの動作の全体像を把握しておく必要があります。
この全体像は、システムに保存されているデータも含めて、文書化する必要があります。
このようにシステムが持つリスクを調べ、そのリスクに対してどのように対応をするのかなどの一連の作業をシステムリスクアセスメントといいます。
リスクマネージメントとの違いとは?
リスクマネジメントには様々な形態がありますが、組織内のリスクをうまく管理するためには、リスクアセスメントとリスクマネジメントの両方が不可欠です。
リスクアセスメントとリスクマネジメントの両方は、組織内のリスクを効果的に管理し、人、財産、環境への損害を防ぐために不可欠です。
ここでは、リスクマネジメントの形態とその意味について説明します。
リスクアセスメントとは、すべての潜在的なリスクに関する情報を収集し、そのリスクの可能性を最小限にするために何をすべきか、またはリスクに対処するために何をすべきかを決定するプロセスを指します。
リスク・アセスメントは、セキュリティ・プランニング・プロセスの重要な部分です。
また、リスクアセスメントは、どのようなリスクが発生しやすく、どのようなリスクが発生しにくいかを判断することができるため、リスクマネジメントの基礎となります。
リスク管理プロセスは、情報セキュリティのすべての側面に適用できます。
リスク評価プロセスは、情報システムの運用上のセキュリティに適用できます。
しかし、リスク管理プロセスは、サイバー攻撃のような特定のリスクがある分野や、金融取引システム、重要インフラのシステム、健康と安全のシステムなど、業務が情報システムに依存している分野で一般的に使用されます。
リスクアセスメントは、業務レベルまたは機能レベルで行うことができます。
リスクアセスメントのプロセスは、セキュリティポリシーおよび手順で特定されたリスクが、運用方法の変更を正当化するのに十分でない場合に、運用レベルで開始することができるのです。
情報資産とは
リスクアセスメントをする方法の一つに、情報資産に対してセキュリティ要件を識別し、評価する方法があります。
情報資産は、ビジネスシステムと非ビジネスシステムの2つに大別されます。
ビジネス・システムのビジネス価値は、そのビジネス機能の総和である。
これには、ビジネスシステムが任意のビジネス機能または機能関連活動に提供するサービスの価値が含まれます。
ビジネスシステムの非ビジネス的価値とは、そのビジネス以外の機能の合計です。
これには、ビジネス・システムが他のビジネス機能、他の非ビジネス機能、または他の非ビジネス活動に提供するサービスの価値が含まれます。
ビジネス・システムとは、ビジネスにサービスを提供するために使用される情報システムの大規模な集合体である。
ビジネス・システムの価値は、ビジネスの年間総価値から、ビジネスが提供するサービスの価値を差し引くことによって決定することができます。
例えば、消費者に健康保険を提供することに特化したビジネスはビジネスシステムです。
情報資産の価値を評価する方法
情報資産の価値を評価するための最初のステップは、情報資産そのものを特定することです。
これは、組織のリスク評価の最初のステップです。
しかし、情報資産そのものの識別には大量の情報が必要であり、そのために組織は情報資産管理システム(IALS)を組織する必要があることが証明されています。
このシステムは、コストと時間の節約になるだけでなく、組織が重要な情報資源を特定することを可能にします。
これは、組織が価値の高い資産を特定し、価値の低い資産を特定するのに役立ちます。
したがって、組織の成功に最も貢献している資産を特定することができます。
3 つのコンポーネント(ビジネスプロセス、ビジネスソフト ウェア、データ管理ソフトウェア)が消費する時間と労力に対する相対的なコストを決定することです。
プログラムの数が比較的少なく、運営費も比較的少ない企業の場合、ビジネスプロセスのコストとビジネス・データ管理ソフトウェアのコストは同等になるかもしれません。
しかし、プログラムの数が多く、運営費が多い企業の場合、ビジネスプロセスのコストとビジネスおよびデータ管理ソフトウェアのコストの合計は、相対的に比較可能なビジネスプロセスのコストとビジネスおよびデータ管理ソフトウェアのコストよりも大幅に大きくなる可能性があります。
脆弱性や脅威に対するみきわめ
情報セキュリティ管理を成功させるための重要な要素は、システムのリスクプロファイルを理解する能力です。
脅威のプロファイルを理解するには、脅威評価ツールを使用します。
このツールは、脅威プロファイル、脅威プロファイル分析ツール、脅威プロファイル分析ツール評価ツールの3つの部分で構成されています。
各コンポーネントでは、脅威プロファイルを深く理解することで、情報システムの危険度を判断したり、どの組織が最も攻撃を受けやすいかを判断したりすることができます。
脅威のプロファイルには3つのコンポーネントがあります。
脆弱性1
この例では、情報資産に、使用されていないパスワードが含まれています。
このパスワードは誰にも使用されていないため、脆弱性があるとは考えられません。
パスワードは簡単に変更できるため、誰も使用していません。
しかし,この情報資産は,「偽造」または「盗用」の攻撃に対してのみ脆弱であり,他の脆弱性に対しては脆弱ではありません。
脆弱性2
この問題は、情報資産のパスワードが、ある管理者には使われているが、他の管理者には使われていないために発生します。
パスワード」攻撃と「ログオン」攻撃に対して脆弱であり,「データ盗難」攻撃と「置き忘れ」攻撃に対しては脆弱ではないと考えられます。
脆弱性3
パスワードは、ある管理者が使用していますが、他の管理者は使用していません。
パスワードが変更された場合,情報資産は,「パスワード」と「ログオン」に対する攻撃に対して脆弱であり、「データの盗難」と「誤配置」に対する攻撃に対しては脆弱ではありません。
まとめ
リスクアセスメントはシステムにおいてさまざまなリスクを見つけ出し、そのリスクに対する対策を決めるまでのプロセスをいいます。
またシステムにおいての脆弱性を調べる必要があります。
脆弱性とはシステム、プロトコル、デバイスなどの弱点のことです。
セキュリティ・リスクとは、障害、損失、盗難につながる可能性のあるセキュリティ上の懸念事項のことであり、リスクアセスメントに含まれます。
場合によっては、企業は脆弱性評価の実施が必要になるでしょう。
このプロセスは、脆弱性が非常に短い時間で攻撃者に悪用されるという事態に対応する必要があるのです。
脆弱性評価では、脆弱性の性質と、悪用されないようにシステムを保護するために必要な措置を特定します。
リスク評価のプロセスは、一度限りのものではありません。
むしろ、さまざまな企業で行われる反復的なプロセスであり、言い換えれば継続的なプロセスです。
システム開発のITパートナー探しをされるのであれば
システム開発のITパートナー探しをされるのであれば「システム開発コンシェルジュ」で是非ご相談いただければと思います。
以下のフォームより開発でご相談いただきたい内容などご相談ください。
