// シス担のミカタ
セキュリティの基本概念

リスク りすく

脅威脆弱性情報セキュリティリスクアセスメントリスク管理インシデント
リスクについて教えて

簡単に言うとこんな感じ!

リスクは「困ったことが起きる可能性とその影響の大きさ」のことだよ!たとえば「パスワードが弱いせいで不正ログインされるかも」みたいな「もしかしたらヤバいかも」の話がまるごとリスクなんだ。

リスクとは

ITセキュリティにおけるリスクとは、「望ましくない事象が発生する可能性(確率)」と「それが起きたときの影響(被害の大きさ)」を組み合わせた概念です。単純に「危険かどうか」だけでなく、「どれくらいの確率で」「どれだけのダメージが生じるか」をセットで考えるのがポイントです。

国際標準の ISO/IEC 27001 では、リスクを「目的に対する不確かさの影響」と定義しています。ビジネスの文脈では、情報漏洩・サービス停止・データ破壊などが代表的なリスクの結果(=インシデント)として挙げられます。

リスクはゼロにできないものです。だからこそ「リスクを洗い出して評価し、許容できるレベルに抑える」というリスク管理(リスクマネジメントプロセスが重要になります。システムの発注・選定の場面でも、「このシステムにはどんなリスクがあるか」を問う力が、担当者には求められます。

リスクの3要素と計算式

セキュリティの世界でリスクは、次の3つの要素の組み合わせで考えます。

要素読み意味
脅威(Threat)きょうい悪いことを引き起こす原因・きっかけ不正アクセス、ウイルス、内部犯行、自然災害
脆弱性(Vulnerability)ぜいじゃくせい攻撃や事故につながる弱点・穴古いソフトウェア、弱いパスワード、設定ミス
資産(Asset)しさん守るべき対象顧客データ、業務システム、機密文書

これらを組み合わせてリスクの大きさを評価します。

リスク = 脅威 × 脆弱性 × 資産価値

💡 どれか1つがゼロなら、リスクもゼロに近づく。
「脅威はあっても脆弱性がなければリスクは低い」「守るものがなければリスクは小さい」という考え方です。

覚え方:「脅・脆・資」で「キョウ・ゼイ・シ」

キョウ(脅威)ゼイ(脆弱性)シ(資産)」の3つがそろって初めてリスクが生まれる、と覚えましょう。3本の矢が束になってはじめて「ヤバい」になるイメージです。

リスクレベルの分類(例)

リスクレベル発生確率影響度対応方針の例
高(High)高い大きい即時対応・予算を確保して対策
中(Medium)中程度中程度計画的に対策・モニタリング
低(Low)低い小さい現状維持・受容も検討

歴史と背景

  • 1970年代 — 軍事・宇宙開発の分野でリスク分析の概念が体系化。NASAのシャトル開発などで「何が起きたらどれだけ危険か」を定量評価する手法が発展。
  • 1990年代 — インターネットの商用化にともない、情報システムへのサイバー攻撃が現実の脅威として認識されはじめる。
  • 2000年ISO/IEC 17799(後のISO/IEC 27002)が公開。情報セキュリティ管理のベストプラクティスとしてリスクマネジメントが明文化される。
  • 2005年ISO/IEC 27001 初版が発行。リスクアセスメント(評価)とリスク対応を中心とした情報セキュリティマネジメントシステム(ISMS)の国際標準として普及。
  • 2013年 — ISO/IEC 27001 改訂。リスクアセスメントの要件がより明確化され、世界中の企業・官公庁が認証取得を進める。
  • 2022年 — ISO/IEC 27001:2022 として再改訂。クラウドやサプライチェーンリスクへの対応が強化される。

リスクへの4つの対応戦略

リスクが特定されたら、どう対処するかを決めます。対応戦略は大きく4種類あります。

① 低減(Reduce) 対策を打ってリスクを小さくする 例:パッチ適用、多要素認証の導入、 ファイアウォール設置 ★ 最もよく使われる戦略 ② 移転(Transfer) リスクを第三者に移す 例:サイバー保険の加入、 クラウド事業者へのアウトソース ③ 回避(Avoid) リスクの原因ごとやめる 例:リスクの高いサービスの廃止、 個人情報収集を取りやめる ④ 受容(Accept) 低リスクとして許容する 例:影響が軽微で対策コストが 割に合わない場合に現状維持

💡 実務では「低減」と「移転」を組み合わせるケースが多く、「回避」は事業戦略レベルの判断になります。「受容」は根拠を文書化することが大切です。

リスクアセスメントのプロセス

リスクを管理するための一連の手順をリスクアセスメントと呼びます。

┌─────────────────────────────────────────────┐
│          リスクアセスメントの流れ            │
│                                             │
│  1. 資産の洗い出し                          │
│     └─ 守るべきデータ・システムを列挙       │
│                                             │
│  2. 脅威・脆弱性の特定                      │
│     └─ 何が原因で、どんな弱点があるか       │
│                                             │
│  3. リスクの評価(発生確率×影響度)         │
│     └─ 高・中・低でランク付け              │
│                                             │
│  4. リスク対応策の決定                      │
│     └─ 低減・移転・回避・受容を選ぶ        │
│                                             │
│  5. 残留リスクの確認・承認                  │
│     └─ 対策後に残るリスクを経営層が承認    │
└─────────────────────────────────────────────┘

関連する規格・RFC

規格・文書内容
ISO/IEC 27001:2022情報セキュリティマネジメントシステム(ISMS)の国際標準。リスクアセスメントと対応が中核
ISO/IEC 27005情報セキュリティリスク管理の専用ガイドライン
NIST SP 800-30米国国立標準技術研究所が定めるリスクアセスメントのガイド
ISO 31000:2018リスクマネジメント全般の国際標準(IT以外も含む)

関連用語

  • 脅威 — リスクを引き起こす原因・攻撃者・自然災害などの外的要因
  • 脆弱性 — システムや運用に存在する弱点。脅威と組み合わさってリスクになる
  • 情報セキュリティ機密性完全性可用性の3つを守るための取り組み全体
  • ISMS — ISO/IEC 27001に基づく情報セキュリティマネジメントシステム
  • インシデント — リスクが現実化した(=被害が発生した)事象のこと
  • リスクアセスメント — リスクを特定・分析・評価する一連のプロセス