脆弱性？脆弱性診断？セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決！

皆さんは健康診断や人間ドックといった自身の健康状態の把握をどの程度されていますでしょうか？

企業に勤められている方には、労働安全衛生法により1年に1回の定期診断を受診させることを義務付けられています。
一方、企業自体の健康診断と考えた場合、定期的に企業のセキュリティリスクを把握している企業は多くないものと想定され、多くの企業では自社のセキュリティリスクの状態がどのようになっているのかが把握できていないのではと考えられます。

そもそも「アセスメント」とは、特定の対象や状況に対して評価や判断を行うプロセスを指します。この手法は様々な分野で利用され、目的に応じて様々な形態がとられています。
その中で情報セキュリティにおける「リスクアセスメント」とは、組織やプロジェクト、情報システムにおいて発生する可能性のあるセキュリティリスクを評価し、その影響や重要度を明らかにするためのプロセスです。
発見されたリスクに対して、影響や重要度に応じて改善を図ることで、限りあるリソースを有効活用し、対策することが出来ると見込まれます。

ISO27001（以下、ISMS）はご存じの方も多くいらっしゃるかと思います。ISMSは情報セキュリティマネジメントシステムの略称で、リスクアセスメントを含む、いくつかの要素で構成されたマネジメントシステムです。
そのため、ISMSの認証を取得されている企業であれば、必然的にリスクアセスメントも実施されているということになります。

リスクアセスメントのプロセスは複数のステップから構成されます。

1. 準備
   • リスクアセスメント目的の特定
   • リスクアセスメントの適用範囲の特定
   • リスクアセスメントがどのような想定と制限のもとで実施されるかを特定
   • リスクアセスメントにおいて使用される脅威関連情報、脆弱性情報、および影響に関する情報の情報源を特定
   • リスクアセスメントにおいて使用するリスクモデル、アセスメントアプローチ、および分析的アプローチの特定
2. リスクアセスメントの実施
   • 脅威源の特定
   • 脅威事象の特定
   • 脆弱性と素因的条件の特定
   • 可能性の特定
   • 影響の特定
   • リスクの判断
3. 結果の共有
   • 関係者への共有
   • 優先順位付け、リソース配分
4. モニタリングと改善
   • 組織のセキュリティ状況の監視
   • 対策の有効性チェック
   • 継続的な教育・トレーニング

リスクアセスメントの対象となる組織やシステムによっては、「準備」プロセスはあまり行われず、「リスクアセスメントの実施」における脆弱性検査（Webアプリケーションやプラットフォーム等）のみを実施されていることも見受けられます。この場合、特定の対象（主にシステム）に対してのみリスクを特定することとなりますので、組織全体として見ると未発見のリスクが残存している可能性があります。
冒頭にも記載した通り、企業に対する健康診断と捉え、リスクアセスメントを定期的に実施することが望ましいと考えられている一方、すべての内容を毎年実施するほどの予算や時間が確保できないため、各企業における最善の進め方というものをまずは検討いただく必要があります。
ユービーセキュアでは無料で現役のセキュリティコンサルタントに相談ができる無料相談会を開催しております。リスクアセスメントでお困りの際は一度無料相談会もご検討いただければと思います。