1-3 情報セキュリティリスク対応
概要 (引用)
情報セキュリティリスクアセスメントの結果に基づく適切な管理策の選定,情報セキュリティリスク対応計画の策定について,必要な指導・助言を行い,支援する。
要求される知識
・ リスク対応の選択肢(リスク低減,リスク共有,リスク回避,リスク保有など)に関する知識
・ 管理策の実施に要する費用の算定に関する知識
・ サイバー保険に関する知識
要求される技能
・ リスクごとに,リスク対応の選択肢を選定する能力
・ リスク対応の実施に適切な管理策を選定する能力
・ 情報セキュリティリスク対応計画を作成し,残留リスクと併せて説明する能力
- 引用元
- 情報処理推進機構 「情報処理安全確保支援士試験(レベル4)シラバス- 情報処理技術者試験における知識・技能の細目 Ver.2.1(2023年12月25日掲載)
- https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014ir-att/syllabus_sc_ver2_1.pdf
リスク対応の主な選択肢と説明
情報セキュリティにおけるリスク対応の選択肢は、リスクアセスメントによって明らかになったリスクに対して、どのように対処するかを決定するプロセスに関する知識です。代表的な対応には、以下の4つの選択肢があります。
選択肢 | 説明 |
---|---|
リスク低減(Mitigate) | リスクの発生可能性や影響を対策によって減らす方法。 例:ファイアウォールの導入、社員教育、冗長構成など。 |
リスク共有(Transfer) | リスクの一部または全部を第三者に移転する方法。 例:保険への加入、クラウド業者との契約(SLA)など。 |
リスク回避(Avoid) | リスクの原因となる行動や業務をそもそも行わないことでリスクをなくす方法。 例:危険なWeb機能の提供をやめる、業務の停止など。 |
リスク保有(Accept) | リスクをあえて受け入れる方法。コストや影響が軽微である場合に選択。 例:定期点検で十分と判断し冗長化は行わない等。 |
リスク対応選択時の考慮点
- 対応コストとリスクの影響度のバランスを取ることが重要
- リスク基準(受容可能レベル)を満たすかどうかが判断基準
- 対応の結果として新たなリスク(二次リスク)が発生する可能性もあるため、再評価が必要
情報処理安全確保支援士に求められる情報セキュリティリスク対応に関する役割について、以下のように説明できます。
情報処理安全確保支援士のリスク対応における役割
情報処理安全確保支援士は、情報セキュリティリスクアセスメントの結果を踏まえ、組織が適切な管理策を選定し、具体的なリスク対応計画を策定・実施できるよう支援する専門家です。
支援士は、実現可能性・コスト・効果などを考慮しながら、組織の実情に合った現実的かつ実効性のあるリスク対応を提案します。
1. 管理策の選定支援
- アセスメントで特定・評価されたリスクに対し、リスク低減・共有・回避・保有のいずれの方針が適切かを助言
- ISO/IEC 27001付属書Aや、セキュリティガイドライン(例:NIST、ISMS指針)などのベストプラクティスを基にした対策の提案
- 技術的対策(アクセス制御、暗号化など)と組織的対策(教育訓練、ルール整備など)のバランスを考慮した管理策の提示
2. リスク対応計画の策定支援
- 対応策の実施手順、担当者、スケジュール、必要資源、費用対効果などを明確にした計画作成を支援
- 実施状況のモニタリング、評価、改善(PDCA)が可能な枠組みの構築を助言
- 関係部門との調整や意思決定支援も実施(特に経営層への説明)
意義と目的
- リスクアセスメントの結果を具体的な行動計画に落とし込むことで、組織が実効性のあるセキュリティ対策を実施できるようにする。
- 無駄なコストをかけず、かつ重要なリスクに確実に対応できる体制構築を支援する。
まとめ(記述対策用)
情報処理安全確保支援士は、リスクアセスメントの結果に基づいて、適切な管理策の選定や、リスク対応方針を整理した対応計画の策定について、専門的な知見を活かして指導・助言を行い、組織の実効的なセキュリティ対策の実施を支援する。