情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

8.人的セキュリティ

リスクマネジメントとは何か。
7a536a8a

リスクを
マネジメントするんですよね。



以下の過去問を見てみよう。
問51 情報システムのリスクマネジメント全体の説明として,最も適切なものはどれか
ア 事故や災害の発生を防止したり,それが万一発生した場合には損失を最小限にしたりする手段であり,回避,最適化,移転,保有などの手段がある。
イ 情報システムの機能特性を損なう不安定要因やシステムに内在する脆弱性を識別して,企業活動に生じる損失を防止,軽減するとともに,合理的なコストでの対策を行う。
ウ 情報システムの機能に障害が発生した際に,業務の中断や機密漏えいを,防止又は軽減する緊急時対策を行う。
エ リスクを経済的な範囲で最小化するコントロールを設計するために必要な情報を提供する。
(H20NW 午前問題 問51)
正解はイである。

また、リスクマネジメントのプロセスは以下の順で実施される。
このサイトでも、この順に解説する。

 リスク分析:リスクをリスク値として算出
       ・リスク因子の特定(情報資産とリスクを明らかにする)
   ・リスクの算出(リスクを数値化する)
     
         リスク評価:一定値以上のものをリスクとして決定
           
               リスク対応:リスクに対して個別に対応

リスクマネジメントの最初のSETPである「リスク分析」について理解を深める。
リスク分析は、以下でも述べましたが、次のステップで行われます。
①リスク因子の特定(情報資産とリスクを明らかにする)
②リスクの算出(リスクを数値化する)
http://sc.seeeko.com/archives/cat_125459.html

では、過去問題を解いてみよう。
問34 情報システムのリスク分析に関する記述のうち、適切なものはどれか。
ア リスクには、投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは、投機的リスクである。
イ リスクの予想損失額は、損害予防のために投入されるコスト、復旧に要するコスト、及びほかの手段で業務を継続するための代替コストの合計で表される。
ウ リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこに、どのように潜在しているかを識別し、その影響の大きさを測定する。
エ リスクを金額で測定するリスク評価額は、損害が現実のものになった場合の1回当たりの平均予想損失額で表される。
(H19SU午前問題 問34より)
ア:純粋リスクは、セキュリティインシデント、災害、事故などの、マイナスな損失しかないリスクです。一方の投機的リスクは、ビジネスにおける海外進出など、マイナスの損失のリスクもあれば、逆に大きくプラスの利益が出る可能性があるリスクです。情報セキュリティのためのリスク分析の対象は、純粋リスクです。
イ:予防のために投入されるコストは含みません。
ウ:正解選択肢です。
エ:発生する確率も考慮します。

参考:代表的なリスク分析手法は以下である。※試験にはあまり出ないかも。
 ・定性的リスク分析手法:リスクの優先順位を明らかにするため、定性的にリスクを分析する。
 ・定量的リスク分析手法:定性的リスク分析の結果を踏まえ、定量的にリスク分析する。
 ・JRAM(JIPDEC Risk Analysis Method):JIPDECが開発した定性的リスク分析手法。JRAM質問表を用いた脆弱性分析を行う。

もう一問、解いてみよう。
問53 セキュリティ状況の把握、リスク分析、セキュリティ対策の計画、セキュリティ対策の実施のプロセスにおいて、リスク分析で得られる結果はどれか。
ア 洗い出した脆弱性
イ 組み込まれたセキュリティコントロール
ウ セキュリティ仕様
エ 損失の大きさ
(H19初級シスアド秋 午前)
これは簡単だっただろう。
アの洗い出された脆弱性と迷った方もいるかもしれない。しかし、洗い出すだけは「分析」とはいえません。単なる作業なので。正解はエ。

dcf52feb
リスク分析とリスク評価の違いがよくわからないんですよ。
 このあたりの言葉の違いがややこしい。
厳密に理解できていなくても、午前問題はマークなので解けるだろう。とはいえ、余裕があればきちんと理解しておくことをお勧めする。

リスク評価の意味
リスク分析で算出したリスク値が、基準を超えたものを対応すべきリスクとして決定する。これがリスク評価である。
過去問では、リスク評価の説明として「情報セキュリティのリスクマネジメントにおいて,リスクの重大さを決定するために,算定されたリスクを与えられた基準と比較するプロセス」と述べれれています。(平成26年度秋期IP問47)

リスク評価の意義
リスク分析で分析される情報資産や脅威は膨大な量になる。それぞれに対して対策を検討するのは時間とコストがかかりすぎるため、どのリスクに対応すべきかを判断する。
以下問題を解くと、リスク評価の意義が理解できるのではないか。
問69 リスク分析に関する記述のうち,適切なものはどれか。
ア 考えられるすべてのリスクに対処することは時間と費用がかかりすぎるので,損失額と発生確率を予測し,リスクの大きさに従って優先順位を付けるべきである。
イ リスク分析によって評価されたリスクに対し,すべての対策が完了しないうちに,繰り返しリスク分析を実施することは避けるべきである。
ウ リスク分析は,将来の損失を防ぐことが目的であるから,過去の類似プロジェクトで蓄積されたデータを参照することは避けるべきである。
エ リスク分析は,リスクの発生による損失額を知ることが目的であり,その損失額に応じて対策の費用を決定すべきである。 (H20春FE午前68)
ア:正解選択肢です。
イ:不適切です。繰り返しリスク分析をすることも、ときには必要です。
ウ:過去のデータを参照することも大事です。
エ:損失額だけではなく、発生頻度も考慮すべきです。

リスクへの対応は、リスクの大きさとリスクの発生確率に応じて、「リスク移転」「リスク回避」「リスク保有」「リスク低減(リスク最適化)」の4つに分類される。以下にマトリックスと一例を紹介する。 
 ※リスク最適化(低減)策には、技術的対策もあれば社内規程などによる対策もある。たとえば、社内規定でルール化して遵守させた上で、社内教育と内部監査で遵守を徹底する。
※リスク移転には、保険による他社への移転もあれば、アウトソーシングによる移転もある。

  ←小         リスクの発生確率         大→

リスク移転(リスク共有)

 地震などの自然災害は発生確率が少ないので、保険会社にリスクを移転する。

リスク回避
 インターネット上に顧客情報を公開する行為は、漏えいする確率が高く会社への悪影響が大きいので中止する。

↑大

リスク保有

 名刺が盗まれたとしても、影響がそれほど大きくないので何も対策を行わない。

リスク低減(リスク最適化)

・損失防止:対策をしないとウイルスが頻繁に発生するので、ウイルス対策ソフトを全パソコンに導入する。
・損失軽減:データが破壊されるリスクを軽減するために、バックアップを取得する。

リスク


以下のURLがきれいかつ適切だ。
http://www.ipa.go.jp/security/manager/protect/pdca/risk.html

過去問をもとに整理すると、以下になります。
リスク保有
過去問ではリスク保有に関して、「リスクが顕在化しても,その影響が小さいと想定されるので,損害の負担を受容するリスク対応(H21春FE午前問60)」「リスクが小さいことを確認し,問題発生時は損害を負担する(H27春IP問53)」と述べられています。

リスク移転(リスク共有)
過去問(H21春FE午前問41)では、リスク移転に関して、「保険に加入するなど資金面での対策を講じること」と述べられています。
※過去問(H25秋FE午前問39)に、「リスク共有(リスク移転)」と表現されていて、リスク移転=リスク共有ということが示されています。

リスク低減
過去問(H21春FE午前問41)では、リスク低減に関して、「損失の発生率を低下させること」、その具体例として「外部の者が侵入できないように,入退室をより厳重に管理する(H22春SC午前Ⅱ問6)」と述べられています。

リスク回避
過去問では、「リスクの原因を除去すること(H21春FE午前問41)」、その具体例として、「リスクの大きいサービスから撤退した(H27春IP問53)」「データの安易な作成を禁止し,不要なデータを消去する(H22春SC午前Ⅱ問6)と述べられています。





問6 情報漏えいに関するリスク対応のうち、以下はどれに該当するか。
ア 外部の者が侵入できないように、入退室をより厳重に管理する。
イ 情報資産を外部のデータセンタに預託する。
ウ 情報の重要性と対策費用を勘案し、あえて対策をとらない。
エ データの安易な作成を禁止し、不要なデータを消去する。
(H22SC春午前Ⅱ問6より)
エはリスク低減と思われるかもしれないが、この問題ではリスク回避が正解になっている。
アとの違いは、「より厳重に」という、今までより強化するとうこと。
エは不要なものを「廃止」し、リスクあるものを無くす。この点が違い。
まあ、微妙なニュアンスなので、リスク低減といっても正解な気はしますが。

アはリスク低減、イはリスク移転、ウはリスク保有、エがリスク回避である。

リスクコントロールとは何か?
リスクファイナンスとは何か?
d18680c9

ややこしいですねー。
リスク対応、リスク回避など、リスクに関する言葉が多いので、訳が分からなくなってきました。


 リスクコントロールやリスクファイナンスという概念もある。以下に整理する。
 リスク移転は、リスクコントロールとリスクファイナンスの両面があることに注意してほしい。アウトソーシングによって外部にリスク移転するとリスクは低減するからリスクコントロールと言える。しかし、保険かけることでリスク移転をしても、リスクそのものは低減しないからリスクコントロールとは言えない。
 過去問では、リスク移転の内容として「保険に加入するなどで他者と損失の負担を分担すること」(H22秋FE午前43)と述べられている。
 リスク保有がリスクファイナンスに分類されることに違和感を覚える人が多いかもしれない。しかし、リスク保有とは何も対策を実施しないので、被害が発生した場合にかかる費用を覚悟していることになる。被害時発生時に備えて予算を確保するまでは実施しないかもしれないが、少なくとも修復にかかる人件費や機器等の修理代が発生し、それを金銭で負担するのでリスクファイナンスである。

リスクコントロール

リスクをコントールすることで、リスクそのものを低減・回避する

リスク回避

リスクを持たない

リスク最適化

損失防止

損失軽減

リスク移転

アウトソーシング

リスクファイナンス

リスクそのものは変化がない(つまり、低減されない)。ファイナンス(財務)という言葉のとおり、金銭面で対処する。

保険をかける

リスク保有

リスク費として予算を確保

何もしない


リスクファイナンスの問題を一つ
問35 リスク対策の一つであるリスクファイナンスに該当するものはどれか。
ア システムが被害を受けた場合を想定して保険をかけておく。
イ システム被害につながるリスクの発生を抑える対策に資金を投入する。
ウ システムを復旧するのにかかった費用を金融機関から借り入れる。
エ リスクが顕在化した場合のシステム被害を小さくする対策に資金を投入する。
(H19SU 午前問題 問35より)

簡単そうですが、すべてお金にかかわる内容になっているので、間違えるかもしれません。
イ~エは、リスク対策として、主にリスク低減を行っています。結果として、その費用がかかっているだけです。
正解はアです。ポイントは、アはリスクが小さくなっていないことです。リスクを低減することはできないが、保険をかけることで、リスクを第三者に転嫁します。

H29春SG午前問7では、「JIS Q 27000:2014 (情報セキュリテイマネジメントシステムー用語)における“リスクレベル”の定義」として、「結果とその起こりやすさの組合せとして表現される,リスクの大きさ」と述べられています。

H25春AP午後問3では、リスクレベルに関する記述があるので引用します。
〔リスクレベルの決定と行動指針の策定〕
 次に,G課長は,E社で制定した表2のリスクレベルマトリックスを用いて,リスクレベルH(高リスク), M (中リスク), L (低リスク)を決定した。
 さらに,リスクレベルに応じて採るべき行動指針を,次のように策定した。
リスクレベル
・リスクレベルH:できるだけ早期にリスク対策を実施する。
・リスクレベルM:妥当な期間内にリスク対策の実行計画を作成し,実行する。
・リスクレベルL:妥当な期間内にリスク対策が必要か不要かを判断し,対策が必要な場合には,実行計画を作成し,実行する。

YahooBBは500円。裁判では別だったかもしれない。
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「JNSA(Japan Network Security Association:NPO日本ネットワークセキュリティ協会)では個人情報漏えいの賠償額を試算しており、その試算によると、「1人あたり平均想定損害賠償額」を4万9,961円、「1件あたり平均想定賠償額」を2億6,683万円と算出している。」と述べられている。

JIS Q 31000は、「リスクマネジメントー原則及び指針」ですから、リスクマネジメントのガイドラインと考えればいいでしょう。
過去問(H27春AP問41)を見てみましょう。

問41 JIS Q 31000:2010(リスクマネジメントー原則及び指針)における,残留リスクの定義はどれか。
ア 監査手続を実施しても監査人が重要な不備を発見できないリスク
イ 業務の性質や本来有する特性から生じるリスク
ウ 利益を生む可能性に内在する損失発生の可能性として存在するりスク
エ リスク対応後に残るリスク
正解はエ

リスク所有者とはなんでしょうか。
情報漏えいをしそうなリスクを持っている、あぶない社員ではありません。リスクに関して責任や権限を持って対処していく人になります。経営層などの権限を持った人が該当します。
過去問(H29秋SG午前問8)では、「JIS Q 27000:2014 (情報セキュリティマネジメントシステムー用語)では,リスクを運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。」という問いの正答がリスク所有者です。

このページのトップヘ