1-2 情報セキュリティリスクアセスメント
概要 (引用)
リスク基準の確立及び維持について,必要な指導・助言を行い,支援する。
リスク特定,リスク分析,リスク評価のプロセスの実施について,必要な指導・助言を行い,支援する。
要求される知識
・ 情報の特性(機密性,完全性,可用性,真正性,責任追跡性,否認防止,信頼性など)に関する知識
・ リスク,リスク基準,リスク源,脆ぜい弱性及び脅威に関する知識
・ 情報セキュリティリスクアセスメントのプロセス(特定,分析,評価)に関する知識
・ 脅威分析(STRIDE分析,アタックツリー分析(ATA)など)に関する知識要求される技能
・ 情報資産損失の大きさ(失われる資産の価値,原因究明及び復旧の費用,社会的説明の費用)を算定し,評価する能力
・ リスク源,脆弱性及び脅威を,新たなITに関するものも含めて列挙する能力
・ 情報資産とリスクを関連付けて整理する能力
・ リスクを優先順位付けする能力- 引用元
- 情報処理推進機構 「情報処理安全確保支援士試験(レベル4)シラバス- 情報処理技術者試験における知識・技能の細目 Ver.2.1(2023年12月25日掲載)
- https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014ir-att/syllabus_sc_ver2_1.pdf
情報の特性とその説明
情報セキュリティにおける「情報の特性」とは、情報資産を適切に保護・管理するために考慮すべき基本的な性質・要件のことを指します。これらの特性を理解することは、情報セキュリティ対策を設計・評価する上で極めて重要です。
| 特性名 | 説明 |
|---|---|
| 機密性(Confidentiality) | 情報が許可された者のみにアクセスできること。情報漏えいや不正閲覧を防ぐこと。例:個人情報、顧客データの保護。 |
| 完全性(Integrity) | 情報が正確であり、改ざん・破壊されていないこと。データが意図せず変更されていないことを保証。例:契約内容のデータが改ざんされていない状態。 |
| 可用性(Availability) | 情報やシステムが必要なときに利用できること。システムダウンや障害による業務停止を防止。例:24時間稼働するオンラインサービス。 |
| 真正性(Authenticity) | 情報の発信元や対象が正当であることを確認できること。例:送信者が本人であることの確認(電子署名など)。 |
| 責任追跡性(Accountability) | 利用者の行動が記録・追跡可能であること。誰が何をしたかを後から検証できる。例:操作ログの記録。 |
| 否認防止(Non-repudiation) | ある行為を後から否認できないようにすること。送信者や実行者が関与を否定できないよう証明を残す。例:電子契約でのタイムスタンプ付き署名。 |
| 信頼性(Reliability) | 情報やシステムが安定して正しく動作すること。処理の正確性や障害の少なさも含む広い概念。例:ミッションクリティカルな基幹システムの安定稼働。 |
情報セキュリティリスクアセスメントにおける支援士の役割
情報処理安全確保支援士は、組織の情報セキュリティ体制を強化するために、リスクアセスメントの実施に関する指導・助言を行い、必要に応じて実務面でも支援します。
特に、リスク基準の確立と維持および、リスク特定・分析・評価の各プロセスの支援が中心的な活動になります。
リスクアセスメントのプロセスと支援内容
1. リスク基準の確立・維持支援
- 組織の事業環境・法令・情報資産の重要度を踏まえ、どの程度のリスクを許容するか(リスク受容基準)を明確化するよう助言
- リスクの識別・評価に使う尺度(影響度・発生頻度など)や判断基準を整備するよう支援
- 情報資産の分類や管理レベルの定義に関する助言も行う
2. リスク特定の支援
- 組織内の情報資産、脅威、脆弱性を洗い出す方法について指導
- ヒアリング、文書レビュー、システム分析などによりリスク要因を抽出するプロセスを支援
3. リスク分析の支援
- 脅威と脆弱性の組合せから、リスクの発生可能性と影響度を定量・定性で分析する方法を助言
- リスクマトリクスやシナリオ分析の活用方法も支援
4. リスク評価の支援
- 分析結果を基に、許容できるリスクかどうかを評価・判断するための助言
- 優先的に対応すべきリスクの選定や、対応方針(回避・低減・移転・受容)の策定支援
目的と意義
リスクアセスメントは、セキュリティ対策を場当たり的ではなく、合理的・優先順位に従って実施するための基礎です。
支援士は、これを組織の実情に合った形で正しく継続的に行えるよう導くことが求められます。
まとめ
情報処理安全確保支援士は、情報セキュリティリスクアセスメントにおいて、リスク基準の策定・維持に対する助言を行うとともに、リスクの特定・分析・評価の各プロセスについて必要な支援を行う。
これにより、組織がリスクに基づいた合理的なセキュリティ対策を実施できるよう導く。
