12-1. リスクマネジメント：概要

12-2. リスクマネジメント：リスクアセスメント

12-3. リスクマネジメント：リスク対応

 

章の目的

第12章では、リスクマネジメントの概要と、リスクマネジメントプロセスにおけるリスクアセスメントの手法やリスク対応の考え方について学ぶことを目的とします。

主な達成目標

⚫︎ リスクマネジメントの意義について理解すること ⚫︎ リスクマネジメントプロセスの全体像を理解すること ⚫︎ リスクアセスメント、リスク対応のプロセスを理解すること

 

主なキーワード リスクマネジメント、リスクアセスメント

 

要旨

12章の全体概要

12章では、リスクマネジメントプロセスに沿って、リスク基準の確立、リスクアセスメント、リスク対応について解説しています。リスクマネジメントはセキュリティ対策にとって不可欠な要素です。リスクは、顕在化していないものについても検討する必要があります。リスクマネジメントプロセスにおける各段階での考え方や手法を用いることで、円滑なリスク特定、分析と対応策の検討を実施できます。

 

12-1. リスクマネジメント：概要

リスクマネジメントプロセス（ISO 31000）

リスクを効率的に管理し、発生する可能性がある損失を回避、低減するプロセス全体のことを「リスクマネジメント」といいます。リスクマネジメントの国際規格としてISO 31000があります。リスク対応にあたり、リスクマネジメントプロセスにおける「リスクアセスメント」が必須です。リスクアセスメントとは、組織や企業が抱える資産に対するリスクの洗い出しや分析、評価を行い、リスク対応の優先順位付けをしていくプロセスです。

 

情報セキュリティリスクマネジメント（ISO/IEC 27005）

ISO/IEC 27005は、情報セキュリティにおけるリスクマネジメントに関する国際規格です。ISO 31000と整合性があり、情報セキュリティに特化した内容になっています。

 

ISO/IEC 27001におけるリスクマネジメント手順

ISO/IEC 27001はISMSの枠組みを提供し、その中で必要となるリスクマネジメントの具体的な手法やプロセスの詳細を提供しているものが、ISO/IEC 27005です。ISO/IEC 27001の活動は、ISO/IEC 27005におけるリスクマネジメントプロセスと関連付けて整理できます。

 

12-2. リスクマネジメント：リスクアセスメント

12-3. リスクマネジメント：リスク対応

リスクマネジメント全体の流れは下記の図の通りです。リスクアセスメントでは、組織や企業が抱える資産に対するリスクの洗い出しや分析、評価を行い、リスク基準と比較してリスク対応が必要か否か判断します。リスクの特定には、「資産ベースのアプローチ」と「事象ベースのアプローチ」の2つの方法があります。情報資産ごとに、その重要度を「機密性」「完全性」「可用性」が損なわれた場合の事業への影響度から決め、重要度と被害発生の可能性からリスクレベルを求めます。このリスク評価の結果をもとに、受容可能でないものについては、「低減」、「移転」、「回避」、「受容（保有）」からリスク対応を選択します。すべての残留リスクが受容できるレベルになるまで、このリスク評価のプロセスを繰り返します。

図117. リスクマネジメント全体の流れと、リスク対応の選択プロセス

訴求ポイント

章を通した気づき・学び

リスクマネジメントはセキュリティ対策にとって欠かせないものですが、顕在化していないリスクについて考えることが難しい場合もありますが、「資産ベースのアプローチ」によって網羅的にリスクを特定するようにしましょう。リスクマネジメントプロセスにおける各段階の考え方や手法を用いることで、円滑なリスク特定、分析と対応策の選択と実施が可能になります。このプロセスによってすべてのリスクをコントロールし、残留リスクを受容可能なレベルにすることができます。

 

認識していただきたい実施概要

⚫︎ リスク対応にはリスクマネジメントプロセスにおけるリスクアセスメントが必須であること。 ⚫︎ リスクアセスメントは「リスク特定」、「リスク分析」、「リスク評価」を実施すること。 ⚫︎ リスク対応はリスクアセスメントの結果をもとに「リスク回避」、「リスク低減」、「リスク移転」、「リスク受容」から選択すること。

詳細理解のため参考となる文献（参考文献）
ISO/IEC 27005:2022	https://www.iso.org/standard/80585.html
リスクアセスメントとリスク対応	https://www.jnsa.org/ikusei/01/02-04.html