お役立ち資料
脆弱性?脆弱性診断?セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決!
004
小野 康介
2024年3月4日
皆さんは健康診断や人間ドックといった自身の健康状態の把握をどの程度されていますでしょうか?
企業に勤められている方には、労働安全衛生法により1年に1回の定期診断を受診させることを義務付けられています。
一方、企業自体の健康診断と考えた場合、定期的に企業のセキュリティリスクを把握している企業は多くないものと想定され、多くの企業では自社のセキュリティリスクの状態がどのようになっているのかが把握できていないのではと考えられます。
そもそも「アセスメント」とは、特定の対象や状況に対して評価や判断を行うプロセスを指します。この手法は様々な分野で利用され、目的に応じて様々な形態がとられています。
その中で情報セキュリティにおける「リスクアセスメント」とは、組織やプロジェクト、情報システムにおいて発生する可能性のあるセキュリティリスクを評価し、その影響や重要度を明らかにするためのプロセスです。
発見されたリスクに対して、影響や重要度に応じて改善を図ることで、限りあるリソースを有効活用し、対策することが出来ると見込まれます。
ISO27001(以下、ISMS)はご存じの方も多くいらっしゃるかと思います。ISMSは情報セキュリティマネジメントシステムの略称で、リスクアセスメントを含む、いくつかの要素で構成されたマネジメントシステムです。
そのため、ISMSの認証を取得されている企業であれば、必然的にリスクアセスメントも実施されているということになります。
リスクアセスメントのプロセスは複数のステップから構成されます。
リスクアセスメントの対象となる組織やシステムによっては、「準備」プロセスはあまり行われず、「リスクアセスメントの実施」における脆弱性検査(Webアプリケーションやプラットフォーム等)のみを実施されていることも見受けられます。この場合、特定の対象(主にシステム)に対してのみリスクを特定することとなりますので、組織全体として見ると未発見のリスクが残存している可能性があります。
冒頭にも記載した通り、企業に対する健康診断と捉え、リスクアセスメントを定期的に実施することが望ましいと考えられている一方、すべての内容を毎年実施するほどの予算や時間が確保できないため、各企業における最善の進め方というものをまずは検討いただく必要があります。
ユービーセキュアでは無料で現役のセキュリティコンサルタントに相談ができる無料相談会を開催しております。リスクアセスメントでお困りの際は一度無料相談会もご検討いただければと思います。