6.2 社内の脆弱性分析
情報システム管理において社内に存在する脆弱性を認識し、対策しておくことはとても大切です。
本項では、脆弱性の分析の仕方とそれに対応した対策の決定方法を記述します。
<手順1>情報資産の把握…どのような情報資産があるか把握して重要度を判断します。
情報資産ごとに、漏洩・改竄・誤謬(誤記・計算ミス)や必要時に利用できない際の事業への影響の観点から重要度を判断します。業種・事業内容・IT環境によって情報資産は異なるため、以下の要領で作業をします。
- 情報資産管理台帳の作成
- 情報資産ごとの機密性・完全性・可用性※の評価
- 機密性・完全性・可用性※の評価値から重要度を測定
※機密性:権限がある人だけが情報にアクセスできる。
完全性:情報やその処理方法が正確で完全である。
可用性:権限のある人が情報資産を必要とした際に常に利用ができる状態となっている。
<手順2>リスク値の算定…優先的・重点的に対策が必要な情報資産を把握します。
手順1で洗い出した情報資産の対策の優先度を決めるため、リスク値を算定します。算定には様々な方法がありますが、IPAが発行している『情報セキュリティガイドライン』では「重要度」と「被害発生可能性」の2つの数値の掛け算で算定する方法が掲載されています。「重要度」は<手順1>の内容をもとに算出し、「被害発生可能性」は「脅威の起こりやすさ」と「脆弱性の付け込みやすさ」の2つの数値から算出します。「被害発生可能性」とは、脅威が脆弱性を利用して、どの程度の被害をもたらす可能性があるかを示す指標です。
詳細な計算方法につきましては、IPAの『情報セキュリティガイドライン』をご参照ください。
中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
関連ページ
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
<手順3>情報セキュリティ対策の決定…リスクの大きな情報資産に必要な対策を決めます
リスク値の大きいものから対策を検討し、適した対策を決定します。対策は以下のように区分して検討します。
① リスク低減
自社で実行できる情報セキュリティ対策の導入や強化によって脆弱性を改善し、事故が起きる可能性を下げます。
② リスク受容
事故が起きたとしても受容可能な場合や、対策にかかる費用が損害額より高い場合などは対策を講じず、現状を維持します。
③ リスク回避
仕事のやり方や、ITシステムの管理・利用方法などを変えることで、想定されるリスクそのものをなくします。
④ リスク移転
情報セキュリティに関連した保険商品の契約など、有効な対策や保証能力のある他社のサービスを利用することで自社の負担を減らします。