情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

8.人的セキュリティ > 8.5 リスクマネジメント

リスクとは何でしょうか。
601a33a7 

リスクと言われても、リスクはリスクです。
危険とか、そういう意味ですよね?
過去問(H17NW午前問51)では、「リスクとは、脅威が情報資産のぜい弱性を利用して、情報資産への損失又は損害を与える可能性のことである」と述べています。
リスクは、次の式で表されます。
リスク = 情報資産(の重要性) x 脅威 x 脆弱性

たとえば、銀行のオンラインバンキングで考えます。オンラインバンキングの口座に100万円という大金が入っていれば、これは資産の重要性が高くなります。また、簡単すぎるパスワードという脆弱性があれば、オンラインバンキングを狙う攻撃者という脅威がありますから、リスクが大きくなります。
 一方、通常の銀行口座であれば、これらの脆弱性や脅威は少なくなります。インターネット越しに攻撃ができないからです。つまり、リスクは小さくなります。
リスクは脅威と情報資産と脆弱性

情報資産
情報は全て資産と言えます。ただ、会社の所在地や電話番号などの情報は、お金をかけてセキュリティ対策をする価値はありません。企業HPなどにて公開しているからです。
ですから、セキュリティマネジメントにおける情報資産とは、「営業秘密」「個人情報」に代表される、企業にとって価値のある「資産」と考えましょう。
また、情報資産には、電子データの情報もあれば、紙ベースの情報もある。情報セキュリティで管理する資産は、両方が含まれている。また、情報資産は、個人情報などの「データ」だけではありません。サーバやネットワーク機器などの物理的資産,ソフトウェア資産,人や保有する資格・技能・経験などの人的資産,特許やノウハウといった無形資産などがあります。
情報セキュリティスペシャリスト試験を目指す女性SE 

それは、サーバなどにも顧客情報やら設定情報などの機密情報が含まれているからですか?
いや、データを含まなくても、機器そのものが情報資産と考えられる。ネットワーク機器も情報資産である。特に電子データによる情報資産は、これらの機器が存在して初めて情報資産としての価値がでる。また、情報セキュリティのCIAとして「可用性」という考え方があるように、使いたいときに使える状態になるというのも大事な要素なのである。つまり、サーバやネットワークがきちんと守られていてこそ利用できるので、大事な物理的情報資産である。

脆弱性
 上記で述べた脅威(DoS攻撃、ウイルスなど)が存在しても、それらの脅威に対抗できるだけの対処をしていればリスクにはならない。たとえば、泥棒に入られないようにするために、何重にも鍵をかけ、警備員やセンサー、監視カメラによって監視する。しかし、裏口には鍵がかかっていなければ、簡単に泥棒に入られてしまう可能性がある。この例でいう「裏口には鍵がかかっていない」ことが脆弱性である。脆弱性にはソフトウェアのバグやセキュリティホールに加え、人的な脆弱性(パスワードを安易なものにすることやウイルスソフトを実行しないなど)も存在する。

リスクマネジメントとは何か。
7a536a8a

リスクを
マネジメントするんですよね。



以下の過去問を見てみよう。
問51 情報システムのリスクマネジメント全体の説明として,最も適切なものはどれか
ア 事故や災害の発生を防止したり,それが万一発生した場合には損失を最小限にしたりする手段であり,回避,最適化,移転,保有などの手段がある。
イ 情報システムの機能特性を損なう不安定要因やシステムに内在する脆弱性を識別して,企業活動に生じる損失を防止,軽減するとともに,合理的なコストでの対策を行う。
ウ 情報システムの機能に障害が発生した際に,業務の中断や機密漏えいを,防止又は軽減する緊急時対策を行う。
エ リスクを経済的な範囲で最小化するコントロールを設計するために必要な情報を提供する。
(H20NW 午前問題 問51)
正解はイである。

また、リスクマネジメントのプロセスは以下の順で実施される。
このサイトでも、この順に解説する。

 リスク分析:リスクをリスク値として算出
       ・リスク因子の特定(情報資産とリスクを明らかにする)
   ・リスクの算出(リスクを数値化する)
     
         リスク評価:一定値以上のものをリスクとして決定
           
               リスク対応:リスクに対して個別に対応

リスクマネジメントの最初のSETPである「リスク分析」について理解を深める。
リスク分析は、以下でも述べましたが、次のステップで行われます。
①リスク因子の特定(情報資産とリスクを明らかにする)
②リスクの算出(リスクを数値化する)
http://sc.seeeko.com/archives/cat_125459.html

では、過去問題を解いてみよう。
問34 情報システムのリスク分析に関する記述のうち、適切なものはどれか。
ア リスクには、投機的リスクと純粋リスクとがある。情報セキュリティのためのリスク分析で対象とするのは、投機的リスクである。
イ リスクの予想損失額は、損害予防のために投入されるコスト、復旧に要するコスト、及びほかの手段で業務を継続するための代替コストの合計で表される。
ウ リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこに、どのように潜在しているかを識別し、その影響の大きさを測定する。
エ リスクを金額で測定するリスク評価額は、損害が現実のものになった場合の1回当たりの平均予想損失額で表される。
(H19SU午前問題 問34より)
ア:純粋リスクは、セキュリティインシデント、災害、事故などの、マイナスな損失しかないリスクです。一方の投機的リスクは、ビジネスにおける海外進出など、マイナスの損失のリスクもあれば、逆に大きくプラスの利益が出る可能性があるリスクです。情報セキュリティのためのリスク分析の対象は、純粋リスクです。
イ:予防のために投入されるコストは含みません。
ウ:正解選択肢です。
エ:発生する確率も考慮します。

参考:代表的なリスク分析手法は以下である。※試験にはあまり出ないかも。
 ・定性的リスク分析手法:リスクの優先順位を明らかにするため、定性的にリスクを分析する。
 ・定量的リスク分析手法:定性的リスク分析の結果を踏まえ、定量的にリスク分析する。
 ・JRAM(JIPDEC Risk Analysis Method):JIPDECが開発した定性的リスク分析手法。JRAM質問表を用いた脆弱性分析を行う。

もう一問、解いてみよう。
問53 セキュリティ状況の把握、リスク分析、セキュリティ対策の計画、セキュリティ対策の実施のプロセスにおいて、リスク分析で得られる結果はどれか。
ア 洗い出した脆弱性
イ 組み込まれたセキュリティコントロール
ウ セキュリティ仕様
エ 損失の大きさ
(H19初級シスアド秋 午前)
これは簡単だっただろう。
アの洗い出された脆弱性と迷った方もいるかもしれない。しかし、洗い出すだけは「分析」とはいえません。単なる作業なので。正解はエ。

dcf52feb
リスク分析とリスク評価の違いがよくわからないんですよ。
 このあたりの言葉の違いがややこしい。
厳密に理解できていなくても、午前問題はマークなので解けるだろう。とはいえ、余裕があればきちんと理解しておくことをお勧めする。

リスク評価の意味
リスク分析で算出したリスク値が、基準を超えたものを対応すべきリスクとして決定する。これがリスク評価である。
過去問では、リスク評価の説明として「情報セキュリティのリスクマネジメントにおいて,リスクの重大さを決定するために,算定されたリスクを与えられた基準と比較するプロセス」と述べれれています。(平成26年度秋期IP問47)

リスク評価の意義
リスク分析で分析される情報資産や脅威は膨大な量になる。それぞれに対して対策を検討するのは時間とコストがかかりすぎるため、どのリスクに対応すべきかを判断する。
以下問題を解くと、リスク評価の意義が理解できるのではないか。
問69 リスク分析に関する記述のうち,適切なものはどれか。
ア 考えられるすべてのリスクに対処することは時間と費用がかかりすぎるので,損失額と発生確率を予測し,リスクの大きさに従って優先順位を付けるべきである。
イ リスク分析によって評価されたリスクに対し,すべての対策が完了しないうちに,繰り返しリスク分析を実施することは避けるべきである。
ウ リスク分析は,将来の損失を防ぐことが目的であるから,過去の類似プロジェクトで蓄積されたデータを参照することは避けるべきである。
エ リスク分析は,リスクの発生による損失額を知ることが目的であり,その損失額に応じて対策の費用を決定すべきである。 (H20春FE午前68)
ア:正解選択肢です。
イ:不適切です。繰り返しリスク分析をすることも、ときには必要です。
ウ:過去のデータを参照することも大事です。
エ:損失額だけではなく、発生頻度も考慮すべきです。

リスクへの対応は、リスクの大きさとリスクの発生確率に応じて、「リスク移転」「リスク回避」「リスク保有」「リスク最適化」の4つに分類される。以下にマトリックスと一例を紹介する。 
 ※リスク最適化(低減)策には、技術的対策もあれば社内規程などによる対策もある。たとえば、社内規定でルール化して遵守させた上で、社内教育と内部監査で遵守を徹底する。
※リスク移転には、保険による他社への移転もあれば、アウトソーシングによる移転もある。


  ←小         リスクの発生確率         大→

リスク移転

 地震などの自然災害は発生確率が少ないので、保険会社にリスクを移転する。

リスク回避
 インターネット上に顧客情報を公開する行為は、漏えいする確率が高く会社への悪影響が大きいので中止する。

↑大

リスク保有

 名刺が盗まれたとしても、影響がそれほど大きくないので何も対策を行わない。

リスク最適化(リスク低減)

・損失防止:対策をしないとウイルスが頻繁に発生するので、ウイルス対策ソフトを全パソコンに導入する。
・損失軽減:データが破壊されるリスクを軽減するために、バックアップを取得する。

リスク


以下のURLがきれいかつ適切だ。
http://www.ipa.go.jp/security/manager/protect/pdca/risk.html

問6 情報漏えいに関するリスク対応のうち、以下はどれに該当するか。
ア 外部の者が侵入できないように、入退室をより厳重に管理する。
イ 情報資産を外部のデータセンタに預託する。
ウ 情報の重要性と対策費用を勘案し、あえて対策をとらない。
エ データの安易な作成を禁止し、不要なデータを消去する。
(H22SC春午前Ⅱ問6より)
エはリスク低減と思われるかもしれないが、この問題ではリスク回避が正解になっている。
アとの違いは、「より厳重に」という、今までより強化するとうこと。
エは不要なものを「廃止」し、リスクあるものを無くす。この点が違い。
まあ、微妙なニュアンスなので、リスク低減といっても正解な気はしますが。

アはリスク低減、イはリスク移転、ウはリスク保有、エがリスク回避である。

リスクコントロールとは何か?
リスクファイナンスとは何か?
d18680c9

ややこしいですねー。
リスク対応、リスク回避など、リスクに関する言葉が多いので、訳が分からなくなってきました。


 リスクコントロールやリスクファイナンスという概念もある。以下に整理する。
 リスク移転は、リスクコントロールとリスクファイナンスの両面があることに注意してほしい。アウトソーシングによって外部にリスク移転するとリスクは低減するからリスクコントロールと言える。しかし、保険かけることでリスク移転をしても、リスクそのものは低減しないからリスクコントロールとは言えない。
 過去問では、リスク移転の内容として「保険に加入するなどで他者と損失の負担を分担すること」(H22秋FE午前43)と述べられている。
 リスク保有がリスクファイナンスに分類されることに違和感を覚える人が多いかもしれない。しかし、リスク保有とは何も対策を実施しないので、被害が発生した場合にかかる費用を覚悟していることになる。被害時発生時に備えて予算を確保するまでは実施しないかもしれないが、少なくとも修復にかかる人件費や機器等の修理代が発生し、それを金銭で負担するのでリスクファイナンスである。

リスクコントロール

リスクをコントールすることで、リスクそのものを低減・回避する

リスク回避

リスクを持たない

リスク最適化

損失防止

損失軽減

リスク移転

アウトソーシング

リスクファイナンス

リスクそのものは変化がない(つまり、低減されない)。ファイナンス(財務)という言葉のとおり、金銭面で対処する。

保険をかける

リスク保有

リスク費として予算を確保

何もしない


リスクファイナンスの問題を一つ
問35 リスク対策の一つであるリスクファイナンスに該当するものはどれか。
ア システムが被害を受けた場合を想定して保険をかけておく。
イ システム被害につながるリスクの発生を抑える対策に資金を投入する。
ウ システムを復旧するのにかかった費用を金融機関から借り入れる。
エ リスクが顕在化した場合のシステム被害を小さくする対策に資金を投入する。
(H19SU 午前問題 問35より)

簡単そうですが、すべてお金にかかわる内容になっているので、間違えるかもしれません。
イ~エは、リスク対策として、主にリスク低減を行っています。結果として、その費用がかかっているだけです。
正解はアです。ポイントは、アはリスクが小さくなっていないことです。リスクを低減することはできないが、保険をかけることで、リスクを第三者に転嫁します。

YahooBBは500円。裁判では別だったかもしれない。
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「JNSA(Japan Network Security Association:NPO日本ネットワークセキュリティ協会)では個人情報漏えいの賠償額を試算しており、その試算によると、「1人あたり平均想定損害賠償額」を4万9,961円、「1件あたり平均想定賠償額」を2億6,683万円と算出している。」と述べられている。

JIS Q 31000は、「リスクマネジメントー原則及び指針」ですから、リスクマネジメントのガイドラインと考えればいいでしょう。
過去問(H27春AP問41)を見てみましょう。

問41 JIS Q 31000:2010(リスクマネジメントー原則及び指針)における,残留リスクの定義はどれか。
ア 監査手続を実施しても監査人が重要な不備を発見できないリスク
イ 業務の性質や本来有する特性から生じるリスク
ウ 利益を生む可能性に内在する損失発生の可能性として存在するりスク
エ リスク対応後に残るリスク
正解はエ

セキュリティに完璧はない。
日本でも有名なセキュリティベンダの方と何人かお話ししましたが、100%はあり得ないとおっしゃっていた。
どれだけ対策しても、本気で狙われたらやられてしまうだろう。それは、内部の人を活用したりした場合だ。それに、ログなどもしっかり消してしまえば、その痕跡さえも分からない。

たとえば、無敵だった信長がなぜ光秀に討たれたかというと、理由は簡単である。光秀は内部の人間だったからである。今川義元を破り、××を破り、外敵には無敵の守りであったが、内部の人間に攻められると簡単に崩れてしまう。これはセキュリティでも同じこと。
今のセキュリティは外部よりも内部の犯行に注意すべきであることは周知の事実である。史上最強のハッカーであるケビン・ミトニックは著書の「欺術」(ソフトバンクパブリッシング)にて「これまでの経験や統計は、企業にとって最大の脅威が内部者だ、と明確に語っている」と述べられている。
11d7b807

だったら、セキュリティ対策はやってもやらなくても
一緒ですね。



おっと、極論だね。
でも、某カード会社がやられたときには、株価が「うん百億円」ほど下がった気がする。小さい会社ならつぶれちゃうね。

セキュリティに100%は無いが、セキュリティレベルを高めることはできる。それが90%なのか99%なのか。それとも30%なのか。確率論としても、99%のほうが被害が少ない。
それと、不用意に情報を持たないことや、不用意に外部からアクセスしやすいところに保管しないことも大事。
その方法は、リスク低減とともにリスク回避などである。例えば、クレジットカードの悪用が心配であれば、利用額の上限を低くする。インターネットバンキングであれば、インターネットバンキング用の口座を分け、そこには少しの預金しかないようにする、など。

このページのトップヘ