情報セキュリティマネジメント試験 ①情報セキュリティリスクアセスメント 平成29年秋(2017)

ここでの勉強のポイント

  • 情報資産管理台帳の作成方法
  • 評価の仕方
  • リスク値の求め方
  • 受容リスクと保有以外のリスク対応
  • 情報セキュリティの技術的対策には?

はじめに架空の会社の D 社の説明

D 社は、しっほんきん 1 億円、従業員数 1,000 名の中堅機械製造会社であり、精密機械の設計、製造、販売を行っている。経営企画部、人事総務部、情報システム部など管理部門の従業員数は、 120 名である。
D 社では、情報セキュリティリスクアセスメント手順を下図のように定めている。

  • 情報資産の機密性、完全性、可用性の評価値はそれぞれ 3 段階とする。
  • 情報資産の機密性、完全性、可用性の評価値の最大値を、その情報資産の重要度とする。
  • 脅威及び脆弱性の評価値は 3 段階とし、表と通りである。
  • 情報資産ごとに、様々な脅威に対するリスク値を算出し、その最大値を当該情報資産のリスク値として情報資産管理台帳に記載する。ここで、情報資産の脅威ごとのリスク値は、次の式によって算出する。 リスク値 = 情報資産の重要度 × 脅威の評価値 × 脆弱性の評価値
  • 情報資産リスク値のしきい値を 5 とする。
  • 情報資産ごとのリスク値がしきい値以下であれば受容可能なリスクとする。
  • 情報資産ごとのリスク値がしきい値を超えた場合は、保有以外のリスク対応を行うことを基本とする。

中小企業の情報セキュリティ対策ガイドラインの表

脅威及び脆弱性の評価基準

在宅勤務の試行導入

D 社では、従業員のワークライフバランスの実現と業務の生産性向上を目的として、在宅勤務の導入を経営会議で決定した。在宅勤務の最終利用登録者数は、全社で 100 名程度を想定している。この決定を受け、在宅勤務の労務管理士の課題抽出のために、人事総務内で在宅勤務を 3 か月間試行することになり、人事総務部の F さんが在宅勤務推進担当に任命された。そして、2 つの案を検討した。

案 1 :業務用に会社から貸与されたノート PC を自宅に持ち帰り、社内システムにアクセスして業務を行う。
案 2 :自宅にある個人所有の PC を使用し、社内システムにアクセスして業務を行う。
なお、NPC の会社からの持ち出しは、NPC利用規則によって禁止されているので、在宅勤務の開始にあたっては、該当規則の改訂が必要になる。

在宅勤務の実現案の確認

在宅勤務形態は、PC の紛失・盗難によるリスクのことを考えると、オンライン持出型で、シンクライアント型が理想的です。

シンクライアント型を導入するには、専用サーバーやソフトウェアなどの導入費用が発生するので予算の確保が必要になる。

専用サーバー、ソフトウェアのシステム構築にも時間が掛かるのですぐに対応することは難しい。という事で、オンライン持出型に決まった。

情報セキュリティリスクの再評価

情報資産管理台帳

上記の
・情報セキュリティリスクアセスメント手順
・中小企業の情報セキュリティ対策ガイドライン表
・脅威及び脆弱性の評価基準
より、情報資産管理台帳を完成させる。

情報資産管理台帳で、リスク値がしきい値以下なので、在宅勤務が可能だと安心できません。
社内と違って、在宅勤務には特有の脅威があり、リスク値が変化する場合もあります。

リスク値の変化には、
・OSに深刻な脆弱性が発見され、セキュリティパッチの適用までに時間が掛かる場合
・使用している暗号アルゴリズムが危たい化した場合
・取引先から秘密と指定されていた情報が一般公開され、秘密でなくなりリスク値が下がった。
・標的型攻撃メールが急増した。

情報消失・情報漏洩につながる PC の紛失・盗難などに有効的な技術的対策は?
・NPC 利用時の利用者認証
・データのバックアップの実施

利用者が許可されていないソフトウェアをインストールしたり、利用者の不正サイトへのアクセスで脅威が増える場合の対策
・IT資産管理ソフトウェアによる構成情報の自動収集と管理
・URL フィルタリングの実施
・利用者アカウントに付与されている管理者権限の剥奪

社内では、IC カードによる入退出管理を行っており、NPC はケーブルロックで固定して物理的対策も行っていて対策は十分と考えてハードディスク全体の暗号化も実施していない。

しかし、在宅勤務では、NPC の紛失・盗難など情報の取り出しのおそれがあり、脅威の脆弱性が 1 から 2 に見直すとリスク値は 8 となり、しきい値は超えてしまいます。

よって、この場合、リスク低減にあたるハードディスクドライブ全体の暗号化は行うべきです。最近の NPC はハードディスクドライブ全体の暗号化はをサポートしているので、教育など人的対策を行いハードディスクドライブ全体の暗号化を行えば、脆弱性も評価値が 1 となります。

ただ、評価値の判断にはバラつきもあります。バラつきをなくす方法として
・各脆弱性の評価を複数の評価者が行い、結果を調整する
・評価者に対して、評価についての教育、訓練を実施する
・リスク値を客観的に算定するための基準を設ける

案 1 は、NPC の脅威に対しても管理策で実施しています。又、ソフトウェア構成やハードウェア構成も統制しています。一方案 2 で使用する自宅の個人所有の PC の場合、どのような管理策を実施しているのか、又、OS のバージョン、ソフトウェア、ハードウェアの構成がどうなっているのかについて会社が統制することができない。という問題点があり、案 1 で決定しました。

情報セキュリティに関する対策

物理的対策
・入退室管理及び管理区域へ持ち込む機器の制限をする。
・機器の盗難防止(PC にケーブルロックをかけて固定する)
・USB メモリを持ち出す場合の漏洩防止(暗号化)
・ハードディスクの暗号化による PC 紛失時の漏洩禁止

  • 技術的対策
    ・ファイアウォールによるアクセス制御
    ・マルウェア感染防止のため措置をとる
    ・適切なアクセス制御と利用者認証を行う
    ・データのバックアップを定期的に行う。

人的対策
・企業内規定・規則の整備
・従業員の教育・研修施し情報セキュリティの重要性を意識させる
・データの取扱いミスや不正行為をさせないようにする

学習の確認

  • 情報資産管理台帳の作成方法
  • 評価の仕方
  • リスク値の求め方
  • 受容リスクと保有以外のリスク対応
  • 情報セキュリティの技術的対策には?

関連用語

リスクの回避
事業を撤退するなどでリスクそのものをなくすこと

リスク低減(軽減)
リスクの発生率や損失額を減らすこと

リスクの移転(転換、共有)
保険に加入したり、事業を外部に委託したりすることで、リスク発生時の影響、損失、責任の一部または全部を他社に肩代りさせること

リスクの保有(受容)
軽微なリスクに対してはあえて対策を行わず、リスクが発生した場合の損失は自社で負担すること。

情報セキュリティの 3 要素
機密性:アクセスに許可された者だけが情報にアクセスできる。
完全性:情報の内容や、情報の処理方法が正確で完全である。
可用性:許可された者が必要な時に情報資産にアクセスできる。