はじめに

ボク個人がただただ本から学んだことをアウトプットしていくだけの記事です。
間違ったことをアウトプットしていたら教えていただけると幸いです。
また、逆にこの記事では、正しいことを変えていないかもしれないのでたまたま見かけた方は鵜呑みにしないでください笑

勉強に使っている本

前の記事

1 情報セキュリティマネジメントシステム

まずは、復習。

そもそも、情報セキュリティってなに？
→ 情報の機密性・完全性・可用性を維持する行為そのもの

では、情報セキュリティマネジメント（情報セキュリティ管理）は？
→ 情報の機密性・完全性・可用性を維持する行為そのものを管理するということ

では、情報セキュリティマネジメントシステムは？
→ 情報の機密性・完全性・可用性を維持する行為そのものを管理するシステム

本書の解説では、

組織としての情報セキュリティへの取り組み体制構築し、 … 不足点については改善していくという一連の活動^[1]

と説明されている。

規定されている規格として、JIS Q 27000シリーズがある。

改めて以下にJIS Q 27000シリーズについてまとめる。

JIS Q 27000シリーズ

• JIS Q 27000
  • ISMSについての用語の定義
• JIS Q 27001
  • ISMSを実施するための要求事項
• JIS Q 27002
  • ISMSを導入するにあたっての参考となる情報群

2 情報セキュリティポリシ

ISMSを策定する際に、情報セキュリティポリシの策定が重要らしい。

情報セキュリティポリシの策定 ＝ 情報セキュリティへの対応に関する方針の策定

情報処理安全確保支援士の試験では、

情報セキュリティ基本方針
ISMSを策定して導入したい組織の責任者が情報セキュリティに関する取り組みへの方針を宣言したもの

と

情報セキュリティ対策基準
情報セキュリティ基本方針に基づいて、具体的な管理策を定めたもの

を情報セキュリティポリシとして扱うと、本書では解説されている。^[2]

また、具体的な管理作については、JIS Q 27002を参考にすると良いらしいので、以下にJIS Q 27002についてまとめる。

暗記はしなくていいけど大切らしい。

JIS Q 27002 の14箇条と管理策のカテゴリ^[3]

• 情報セキュリティのための方針群
  • 情報セキュリティのための経営陣の方向性
• 情報セキュリティのための組織
  • 内部組織
  • モバイル機器及びてれワーキング
• 人的資源のセキュリティ
  • 雇用前
  • 雇用期間中
  • 雇用の終了及び変更
• 資産の管理
  • 資産に対する責任
  • 情報分類
  • 媒体の取扱い
• アクセス制御
  • アクセス制御に対する業務上の要求事項
  • 利用者アクセスの管理
  • 利用者の責任
  • システム及びアプリケーションのアクセス制御
• 暗号
  • 暗号による管理策
• 物理的及び環境的セキュリティ
  • セキュリティを保つべき領域
  • 装置
• 運用のセキュリティ
  • 運用の手順及び責任
  • マルウェアからの保護
  • バックアップ
  • ログ取得及び監視
  • 運用ソフトウェアの管理
  • 技術的脆弱性管理
  • 情報システムの監査に対する考慮事項
• 通信セキュリティ
  • ネットワークセキュリティ管理
  • 情報の転送
• システムの取得、開発及び保守
  • 情報システムのセキュリティ要求事項
  • 開発及びサポートプロセスにおけるセキュリティ
  • 試験データ
• 供給者関係
  • 供給者関係における情報セキュリティ
  • 供給者のサービス提供の管理
• 情報セキュリティインシデント管理
  • 情報セキュリティインシデントの管理及びその改善
• 事業継続マネジメントにおける情報セキュリティの側面
  • 情報セキュリティ継続
  • 冗長性
• 遵守
  • 法的及び契約上の要求事項の遵守
  • 情報セキュリティのレビュー

3 リスクマネジメントの流れ

リスクマネジメントは、規格としてJIS Q 31000があり、

リスクについて、組織を指揮統制するための調整された活動。^[4]

と定義されている。

リスクマネジメントプロセスとして、大きく2つのプロセスに分けることができる

• リスクアセスメント
  • リスクの特定、分析、評価までの一連の流れのことを指す
• リスク対応

リスクアセスメントとのアプローチとして、一般的なものとして紹介されていたものを以下にまとめる。

リスクアセスメントのアプローチ

• ベースラインアプローチ
  • 既存の基準や規格を利用して、リスク対応の標準（ベース）を設定して、一律で運用するアプローチ。低コストで運用ができる反面、分析作業やリスク対応に過不足が発生する可能性があり、各々の組織で必要に応じて調整をすることが必要。
• 詳細リスク分析
  • それぞれの情報資産について、脅威や脆弱性等の識別や評価を地道に行うアプローチ。単純に時間や労力等のコストがかかる。
• 組み合わせアプローチ
  • 複数のアプローチを組み合わせて運用するアプローチ。特に、各アプローチの長所のいいとこ取りを行うことができる。
  • 一般的な例としてベースラインアプローチを採用して、特に情報資産の価値が高かったり脆弱性等がクリティカルなリスクにのみ、詳細リスク分析のアプローチをとるなど柔軟に対応可能
    • 逆に言うと、これと決まったルールはない？笑
• 非形式的アプローチ
  • 組織や担当者のスキルや経験でリスクを判断するアプローチ。イニシャルコストが低いことがメリット。属人的な運用となるので、エビデンスを取るのが難しいなどのデメリットがある。
    • 個人的には、そもそもシステムから外れるので絶対に選びたくない。

3-1 リスク特定

リスク特定の工程では文字通り、リスクを洗い出し、確認し、記録をする。主にリスク源とリスクによって発生するであろう結果の2つを対象として行う。
リスク源 = 脅威や脆弱性

3-2 リスク分析

リスク分析の工程では、リスクレベルの決定をする。リスク分析では、定性的分析と定量的分析の両方の観点がある。
どちらにせよ、発生した場合の重大さと発生確率（起こりやすさ）を組み合わせてリスクレベルを表現することが多いよう。
定量的な分析では、

リスクレベル = リスクが発生した場合の結果の重大さ × 発生確率^[5]

が、本書では紹介されている。

実際の数値化においては、https://kikakurui.com/q/Q31010-2012-01.htmlが参考になるかもしれない。（全ては読んでいないからわからない）

3-3 リスク評価

リスク評価の工程では、リスクが許容できるかどうかなどの判断のために、リスク分析の結果をリスク基準と比較する。

リスク評価、またこの後の工程のリスク対応は、シンプルにコストがかかる。そこで、残留リスクという概念を用意して、対応しないリスクや余裕ができたときに対応するリスクなどを定義する。

3-4 リスク対応

リスク対応の工程では、リスクを修正するための選択肢の選定をし、実施する。
リスク対応には、発生前と後で、２つの方法がある。

• リスクコントロール
  • 発生前に実施する。リスクの影響を最小限にするため事前に準備をすること。
• リスクファイナンス
  • 実際にリスクが発生した際の損失や、リスクコントロールで対処しきれない場合の損失に備える資金対策をすること。

4 リスク対応の選択肢

JIS Q 27000 におけるリスク対応

以下に、JIS Q 27000で定義されている、リスク対応の具体的な方法についてまとめる。

• リスクを生じさせる活動を，開始又は継続しないと決定することによって，リスクを回避すること
• ある機会を追求するために，リスクをとる又は増加させること
• リスク源を除去すること
• 起こりやすさ（3.40）を変えること
• 結果（3.12）を変えること
• 一つ以上の他者とリスクを共有すること（契約及びリスクファイナンシングを含む。）
• 情報に基づいた選択によって，リスクを保有すること

脚注

1. 本書のp.9 ↩︎

2. 本書のp.10 ↩︎

3. https://kikakurui.com/q/Q27002-2014-01.html の構造を参照 ↩︎

4. http://kikakurui.com/q/Q31000-2019-01.html の3.9 ↩︎

5. 本書のp.13 ↩︎