ISO/IEC 27005:2018 情報技術－セキュリティ技術－情報セキュリティリスクマネジメント

投稿日：2020/03/26 更新日： 2022/02/02

27005:2018 Information technology – Security technique – Information security risk management 情報技術ーセキュリティ技術―情報セキュリティリスクマネジメント」についての記事をお届けします。

はじめに
リスクマネジメントのプロセス

「ISO 31000 – Risk management – Guidelines リスクマネジメント – 指針」があるのに、なぜISO/IEC 27005を採用するのか？

はじめに

2018年7月、ISO/IEC 27005の第2版 (2011年6月発行) に置き換わる第3版が発行されました。

ISO/IEC 27005 は、12以上もあるISO 27000シリーズ規格の1つであり、組織の情報資産を安全に保つことに焦点を当てています。ISO 27005は、ISO/IEC 27001の要求事項に適合する組織が、情報セキュリティリスクマネジメント、自分たちが取っているリスク対応及び自分たちが附属書Aで適用すると選択した管理策をどのように適用しているかを実証しようとするときに特に役立ちます。

規格中で提供される手引きは、営利企業、政府機関及び非営利団体を含むすべての組織に適用することができます。また、情報セキュリティリスクマネジメントに関わるすべてのマネジャー及びスタッフ、そして該当する場合、情報セキュリティリスクマネジメントを支援する外部関係者に関係してきます。

リスクマネジメントのプロセス

情報セキュリティリスクに対応するに際して、ISO/IEC 27005は組織が従わなければならないリスクマネジメントの方法論そのものは定めてはいません。その代わり、ISO/IEC 27005は、6段階のアプローチに基づく継続的な情報リスクマネジメントのプロセスを示唆しています。その6段階とは:

1. 状況の見極め
2. 情報セキュリティリスクアセスメント
3. 情報セキュリティリスク対応
4. 情報セキュリティリスクの許容
5. 情報セキュリティリスクの協議及びコミュニケーション
6. 情報セキュリティリスクのモニタリング及びレビュー

1. 状況の見極め

情報セキュリティリスクマネジメントのプロセスは、組織の情報セキュリティリスクマネジメントの状況を決定するところから始まります。組織は、情報セキュリティリスクをどのように特定するか、責任をもつ情報セキュリティリスクオーナーはだれか、情報セキュリティリスクが情報の機密性、完全性及び可用性に対してどのように影響するか、そして情報セキュリティリスクの影響と起こりやすさをどのように計算するかについて基準を定める必要があります。

2. 情報セキュリティリスクアセスメント

次に、組織は情報セキュリティリスクの特定、分析及び評価に進みます。多くの組織は、例えば以下のような、資産に基づくリスクアセスメントプロセスに従うことを選択しています。

情報資産台帳をまとめる
それぞれの資産に当てはまる脅威と脆弱性を洗い出す
状況の見極めの段階で決定した基準に基づき影響と起こりやすさの値を割り出す
あらかじめ定めた許容レベルに対し各リスクを評価する

情報セキュリティリスクは定量的 (すなわち、リスクの値やスコアを割り振る) に、あるいは定性的 (すなわち、描写する、例えば低、中、高) に評価することができます。情報セキュリティリスクの最終的な評価は、リスクを管理する組織の能力を考慮に入れ行います。リスクが高い情報セキュリティリスクでも着実に管理できるのであれば、実質リスク (net risk) は低くなります。行動の優先度を決める際には、情報セキュリティ実質リスク (net IS risk) を考慮すべきです。

3. 情報リスク対応

それぞれのリスクを評価したら、組織は情報リスクごとにとる対応策を決定しなければなりません。これには4つの選択肢があります。好ましい順から述べると以下です。

完全に除去することにより、リスクを「避ける」
セキュリティ管理をすることにより、リスクを「変容させる」
第三者 (保険やアウトソースを通じ) にリスクを「分散する」
リスクを「保持する」 (そのリスクがあらかじめ定めたリスク許容基準内にとどまる場合)

4. 情報セキュリティリスクの許容

それぞれの組織は、現状の方針、目標、目的及び利害関係者の利害を考慮に入れ、リスク許容の基準を決定する必要があります。基準はあまりに厳しすぎると、組織は必要以上のリソースを情報セキュリティリスクマネジメントにかけることになるかもしれません。基準が甘すぎると、情報セキュリティリスクを効果的にマネジメントすることができず、組織に損害が出る可能性があります。

5. 情報セキュリティの協議とコミュニケーション

効果的なコミュニケーションは情報セキュリティリスクマネジメントプロセスの中心的な要素です。情報セキュリティリスクマネジメントを運用する責任者たちが、決定の根拠は何か、なぜその処置が必要なのかを確実に理解するようにします。

情報セキュリティリスクに関する情報を共有し、交換すれば、意思決定者とその他の利害関係者の間でリスクをどのようにマネジメントするかについて合意しやすくなります。そのためには、コミュニケーションを継続的に、そして適切に行うことが大切です。したがって、組織は緊急時のコミュニケーション計画だけでなく、平常時のオペレーションのための情報セキュリティリスクのコミュニケーションについても計画を策定すべきでしょう。

6. 情報セキュリティのモニタリングとレビュー

情報セキュリティリスクの影響と起こりやすさはその時々で変化します。また、新しいリスクが出てきたり、以前から存在したリスクがなくなったりもします。したがって、プラス、マイナスのどちらについても変化や傾向をすばやく特定するために、また組織の情報セキュリティリスクへの暴露を漏れなく見渡すために、情報セキュリティリスクを継続的にモニタリングする必要があります。

「ISO 31000 – Risk management – Guidelines リスクマネジメント – 指針」があるのに、なぜISO/IEC 27005を採用するのか？

ISO/IEC 27005と同様に、ISO 31000は組織においてどのようにリスクをマネジメントするかについての指針を提供しています。しかし、ISO/IEC 27005と違い、ISO 31000は情報セキュリティリスクだけにフォーカスするのではなく、事業継続リスク、市場リスク、通貨リスク、信用リスク、運用リスクやその他を含む、あらゆる種類のリスクでの利用を意図しています。つまり、ISO 31000はリスクマネジメントに戦略的かつ包括的に取り組む方法を記述しており、企業のリスクマネジメントのための優れた枠組みを提供していると言えます。

これに対してISO/IEC 27005は、情報セキュリティリスクアセスメントとリスク対応に特化したアドバイスを提供しています。ISO/IEC 27005は組織が情報セキュリティ資産、脅威及び脆弱性を洗い出し、情報セキュリティリスクの潜在的な帰結と起こりうる可能性を評価するために利用することができます。

したがって、事業全体のリスクマネジメントを実施しようとする組織にはISO 31000がベストチョイスだと言えます。しかし、情報セキュリティリスクに特にフォーカスしようと望んでいる組織にとっては、ISO/IEC 270005はISO 31000に含まれる指針よりも専門的で詳細な指針を提供しています。

さらに、ISO/IEC 27005は、6つの広範な附属書において、リスクマネジメントについてこの規格が推奨するアプローチの例を紹介しています。附属書では以下に関するアプローチの例がカバーされています: