セキュリティアセスメントとは？進め方と実施方法、情報セキュリティ3要素など丁寧に解説！

セキュリティアセスメントは現代のデジタル社会で生存する企業にとって、避けて通れない道です。

しかし、その複雑さと絶えず変化する脅威により、どのような対策をするべきかと悩んでいる方も多いでしょう。

適切なセキュリティ対策は、企業が直面するセキュリティリスクを効果的に管理し、安全で信頼できるビジネスを続けるために不可欠です。

そこで本記事では、セキュリティアセスメントの基本情報をお伝えした上で、具体的な進め方について解説していきます。

会社の経営者やセキュリティ部門の担当者は、ぜひチェックしてください。

最後まで読めば、セキュリティアセスメントを効果的に進めるためのステップを理解し、自社のセキュリティ対策をよりスムーズに進められます。

セキュリティアセスメントとは？
セキュリティトラブルの事例
セキュリティアセスメントにおいて重要なISMS
ISMSの実装方法
セキュリティアセスメントの3つの進め方
セキュリティアセスメントを実施する際のポイント
情報セキュリティ3要素に新しく追加された4要素
まとめ：セキュリティアセスメントは企業にとって欠かせない

セキュリティアセスメントとは？

セキュリティアセスメントは、企業や組織の情報資産が直面しているリスクを特定し、分析、評価するプロセスです。

例えば、社内のネットワークシステムのセキュリティチェックや、従業員のセキュリティ意識の調査などがあります。

これらの活動によるセキュリティ上の脆弱性や潜在的なリスクを発見し、情報資産を守るための適切な戦略を立てます。

セキュリティアセスメントの市場は、近年著しい成長を遂げています。

2022年には34億8,000万米ドルの市場規模を記録し、2030年にはその数値が185億5,000万米ドルに達すると予測されています。

この成長の背景には、デジタル化の進展とともに増大するセキュリティリスクへの対応の必要性があります。

セキュリティトラブルの事例

ここでは、過去に発生したセキュリティトラブルの事例をご紹介します。

セキュリティアセスメントを行わないことで、どのようなリスクが高まるのかを見てみましょう。

OSG USA, Inc.

オーエスジーは、連結社員数7,000名を超える総合切削工具メーカーです。この米国子会社であるOSG USA, Inc.のサーバが、2024年9月26日に第三者による不正アクセスを受けたことを公表しました。

比較的最近の事案であるため、現時点では詳報は明らかにされていませんが、一度セキュリティ事故が発覚すると、その後長期にわたり復旧や調査の対応に追われることになります。

もちろん、不正なデータの流出があった場合は、個人情報や知的財産の漏えいによる損失も避けられません。

ライクキッズ

ライクキッズは、全国400ヶ所以上の保育施設を運営しています。2024年9月30日、同社にランサムウェア攻撃が行われました。

こちらも比較的最近の事案であるため詳細は調査中ですが、業種柄多くの個人情報を保持することから、個人情報漏えいがあった場合はレピュテーションリスクも大きなものとなります（現時点では流出は確認されておりません）。

また、ランサムウェアは自社のデータが暗号化されてしまい、復旧できなくなります。復旧のためには攻撃者に対して高額の身代金を支払うことを要求されます。

実際に支払っても復旧される保証が無いばかりか、一度支払うと「この企業は身代金を払うタイプだ」とみなされ、”おいしい”ターゲットとして認知されるリスクも高まります。

LINEヤフー

LINEヤフーは、2023年9月14日から10月27日にわたってサイバー攻撃を受け、従業員やLINE利用者の個人情報が漏えいしたことを公表しました。

このサイバー攻撃においては、業務委託先であり共通の認証基盤を持つNAVER Cloud社が踏み台として利用されました。

本事案は社会的な注目度も高く、実質的な親会社であるNAVER社との資本関係を見直すよう、異例の行政指導が行われました。

LINEの通信は、通信の秘密を求める電気通信事業法に基づく規制の対象ですが、過去にもNAVER関連会社によるLINEの個人情報アクセスに関して行政指導が行われています。

サイバー攻撃のリスクだけでなく、社内の情報ガバナンス態勢についてもリスクアセスメントは重要です。

トラブルによる経済的損失

2021年にトレンドマイクロ社が実施した調査によると、セキュリティインシデントに起因した1組織あたりの年間平均被害額は3億2,850万円に上ります。

被害額は直接発生したコスト、復旧コスト、再発防止コストに分かれますが、これ以外にも機会損失を考慮する必要があります。

機会損失は、レピュテーション被害などによって、本来得ることが出来たはずの収益を失うことによる損失です。一般的に機会損失は被害額に含めないことが多いので、実際に組織が被る金銭的損失はもっと大きいと考えてよいでしょう。

セキュリティアセスメントにおいて重要なISMS

ISMSとは、Information Security Management Systemの略称で情報セキュリティマネジメントシステムのことです。

ISMSは国際規格として定義されており、組織が情報セキュリティを管理し、継続的に改善するための枠組みを提供します。

主な目的は、情報の機密性や完全性、可用性を維持し、向上させることです。

このシステムにより、組織はセキュリティリスクに対処し、効果的なセキュリティ対策ができます。

ISMSは、企業がセキュリティ上の脅威から情報資産を守り、ビジネスプロセスの安全性と信頼性を確保する上で役立ちます。

さらに、ISMS認証を取得すると、情報セキュリティに関する企業の管理レベルを公式に証明することが可能です。

この認証を持つことは、顧客やビジネスパートナーの信頼性を高める効果があります。

ISMSの実装方法

ISMSの導入・運用を行う組織は多くあるため、その実装方法についてはある程度確立されています。ここでは、一般的な以下のステップをご紹介します。

ステップ1 : 現状分析

自社の現状分析を行い、情報資産台帳に管理していきます。

情報資産台帳には、情報システムのほか、PCやサーバなどの機器類、個人情報・知的財産などのデータなどが含まれます。

SaaSで利用しているシステムは、厳密には自社の資産ではありませんが、利用形態（サブスクリプションなど）の情報と共に管理するのが良いでしょう。

情報資産台帳は、リスクアセスメントを行う対象そのものです。台帳にすべての情報資産が登録され、常時最新化されることはこの後のプロセスを続けるうえでの前提条件となります。

ステップ2 : リスクアセスメント

リスクアセスメントを実施します。ISMSでは、各領域に合わせてどのような管理を行うべきか、ガイドラインが示されています。

自社のセキュリティ管理の状況が、ISMSが求めるガイドラインに対してどの程度のギャップを生んでいるかを明らかにしていきます。

ギャップが大きい場合、ISMS認証を受ける障害にもなります。ギャップが小さい場合にも、改善計画を立てる必要性が生じることがあります。

ステップ3 : セキュリティ目標の設定

リスクアセスメントで確認したギャップを基に、セキュリティ目標を設定します。

ISMSでは、今このタイミングでセキュリティ管理が充足していることだけでなく、定期的にチェックし、必要に応じて見直しを行うマネジメント態勢があることも求められます。

次のテストでいい点を取ればいいだけでなく、一度丸をもらった問題を次の次、そのまた次のテストでも確実に丸を貰えるような仕掛けを組織に作る必要がある、ということです。

また、初めてISMSに取り組む場合、コストや体制の問題で、いきなりISMS認証を受けられるレベルに改善を行うことは難しいかもしれません。

こうした場合、まず優先順位を付けて、大きな問題から取り組むような目標を設定すべきでしょう。

ステップ4 : 実施と運用

目標に従い、必要なISMS活動の実施・運用を行います。

運用に際しては、次のステップ「モニタリングとレビュー」が行えるよう、検証可能な形で活動を記録していく必要があります。

導入当初は推進委員などを置き、ルール通りに運用が行えているかをチェックする役割も必要でしょう。その際、企業の規模に応じて各部署にも委員を置くなど、草の根活動が十分に行きわたるような体制を作っていくことが重要です。

ステップ5 : モニタリングとレビュー

ISMSは態勢の構築やルールの整備を行い、運用を適宜見直すことが求められます。

その際、運用の記録を残していくことが重要です。実施したから問題ないではなく、実施したことを記録し、外部からの監査に証明として利用できることが重要です。

また、適宜見直す運用として決めたものについては、会議の議事録を残します。レビューの結果、見直し不要だったとしてもレビューを行ったことを記録します。

セキュリティアセスメントの3つの進め方

セキュリティアセスメントを進めるには、以下の手順がおすすめです。

1．リスクを特定する
2．優先順位を決める
3．評価と見直しを実施する

各ステップを確認していきましょう。

1．リスクの特定（洗い出し・分析・評価）

セキュリティアセスメントの最初のステップは、リスクの特定です。

ここでの「リスク」とは、情報セキュリティの3つの要素である「機密性」「完全性」「可用性」を指します。

リスクの特定においては、各情報資産の特性から考えられるリスクを抽出する方法が考えられます。

たとえば、機密情報が入っているデータベースであれば、必ず機密情報が漏えいするリスクが存在します。漏えいした情報によって、さらに別の自社の情報が漏えいしたり、システム停止を引き起こすなど、別のリスクを生み出すことも考えられます。

こうした連鎖的なリスクを洗い出すには、業務フローからリスクを洗い出すことが必要です。

サイバーキルチェーンという用語がありますが、攻撃者が標的を決定し、実際に目的を達成するための一連のフローを指します。これに沿って、ある情報資産が攻撃されたとき、最終的にどのような被害に拡大することが考えられるかを特定します。

サイバーキルチェーンは、いわば敵の戦術ですので、サイバー攻撃から自社を守るためにも活用されています。

機密性に関するリスクと例

機密性とは、権限の無い相手に対して情報が漏えいすることが無いかをいいます。

たとえば、情報資産の多くはユーザーID・パスワードや、その他の認証方法によって保護されています。また、適切なアクセス権限を設定し、権限に応じた情報の参照ができるようにされています。

これらの管理に問題があり、不適切な情報の参照が行えるようになっていないかを確認します。

完全性に関するリスクと例

完全性とは、情報が不正に改ざんされることが無いかをいいます。

たとえば、ホームページが改ざんされ、特定の思想を持つグループの主張が表示されるケースなどがあります。また、不正な情報の書き換えにより、不正送金などが行われるリスクもあります。

どの資産にどのような改ざんが行われるリスクがあるかを確認し、その影響度を調べます。

可用性に関するリスクと例

可用性とは、システムやデータが利用可能な状態に置かれているかどうかを指します。

たとえばサーバーがダウンするのは、可用性にまつわる障害です。可用性に関するリスクは、サイバー攻撃などのデジタルの世界だけでなく、天変地異などの災害によっても高まります。

どの資産に可用性にまつわる障害が起きるリスクがあるかを確認し、それによる影響を調べます。

2．優先順位を決める

セキュリティアセスメントで洗い出したリスクは、一度にすべて対応できるわけではありません。特に重大なリスクを優先して対処していくべきです。

このため、優先順位をつけることが次のステップです。

1つのリスクにおいても、そのリスクを完全にゼロにしてしまうのか、ある程度の可能性まで下げてしまって、あとは許容するのかなどの、度合いを決める必要もあります。

優先順位は、そのリスクが現実のものとなったときのビジネスインパクトを基に決定します。

ビジネスインパクトは、実際の被害額はもちろんのこと、営業上のレピュテーションリスクも考慮が必要です。

たとえば、センシティブなデータを扱っている企業が、センシティブな情報以外の情報漏えいを何度も繰り返したら、顧客はどう思うでしょうか？

そうした企業に自分のセンシティブな情報を預けたくは無いと考えるはずです。ここでは、実際の被害額は軽微ですが、ビジネスに与えるインパクトは大きくなります。

このようなことも考慮して優先順位を決定します。

また、リスク対策には以下の4つのアプローチがあります。優先順位をつけるにあたり、対策方法の想定を置くことで、対策費用や期間も見積もることが出来ます。

リスク低減

対策によってリスクが発動する（＝現実のものとなる）可能性を下げることをいいます。

リスク対策としては王道で、不正アクセスを防ぐために最新のセキュリティパッチを適用するなど、様々な対策があります。

また、可能性を下げるだけでなく、発生した際の被害影響を小さくするのも、低減方法の1つです。

たとえば、センシティブな情報を管理するデータベースはその他のデータベースと分離したり、ネットワークセグメントを分離するなどの方法が考えられます。

リスク回避

リスクが発動しないよう、リスクが起きうる業務や資産を無くすなどの対策です。つまり、リスクの原因自体を取り除きます。

この場合、リスクが発動しなくなるので、対策の有効性は最も高いです。ただし、資産や業務を取り除くことによる負の影響が起きる場合もあります。

そのため、リスク回避で業務などを取り去る際は、代替策を用意したうえで、業務影響を小さくできるかが重要です。

たとえば、PCをVDI端末にすることで、出先でノートPCを紛失してもデータ流出が起きないようにすることなどがあります。

ただし、この場合は出先でインターネットに接続できない場合の悪影響もあるので、こうしたメリット・デメリットを勘案して対策を実施するかどうかを決定します。

リスク移転

リスク移転とは、自社以外にリスクを移すことを指します。

代表的な対策は「保険」「外部委託」の2つです。保険は、リスクが発動した時の被害額を金銭面で手当てします。また、近年のサイバー保険では、サイバー攻撃の発生時の対処をサポートしてくれることも多いです。

外部委託とは、自社でリスクのある業務を行わず、外部の専門業者に対応してもらうものです。

この場合、自社でリスク対策を行う必要は無くなりますが、顧客への最終責任が自社にあるのは変わらないため、委託業者に対する管理や指導を行う必要はあることに留意が必要です。

リスク保有

リスク保有は、リスク受容ともいいます。リスクの対応をしないことをいいます。

リスクが発生したとしても、その被害が小さい場合などに適用します。

すべてのリスクに対策を行うことは現実的に難しいため、優先度の低いリスクには対策を行わないのが実情です。

また、保有するケースとしては、きわめて発生確率が低いリスクもあります。

ただし、発生確率が低くてリスク保有を決めたリスクについては注意が必要です。過去に保有と判断されたリスクで多いのは、天変地異や戦争等のリスクがみられます。

近年、毎年のように豪雨被害が起きていたり、東アジアでも戦争リスクが高まるなどの事象があるため、過去の判断も今一度見直すことが重要です。

3．評価と見直しを実施する

セキュリティアセスメントの最終段階は、評価と見直しです。

セキュリティアセスメントの実施状況を記録し、改善策を見つけて対応するサイクルを回し続けます。

例えば、従業員のセキュリティに関する行動です。

定期的に監視し、セキュリティポリシーの遵守状況を評価し、不適切な行動やポリシーの不備があれば内容を更新します。

従業員がセキュリティリスクに適切に対応できるように必要に応じて、定期的なトレーニングや啓発活動が不可欠です。

実施されたセキュリティ対策が予定通りの効果を発揮しているかを検証し、目標達成に向かっているかチェックしましょう。

リスクアセスメントの評価基準

セキュリティにおけるリスクアセスメントの評価基準は、他のリスクアセスメントと基本的に同じです。

リスクは、一般的に発生可能性と、発生時の重大さで優先度の判定を行います。

この時、先にクライテリアを作成しておくことが一般的です。

クライテリアとは、たとえばどのような事象が起きれば重大さが「大・中・小」なのかを定義することです。「事業が1日以上停止する場合を大とする」などのように定義していきます。

リスクを洗い出した後に「このリスクは大かな、中かな」となんとなくグレード付けをしていくのではなく、あらかじめ十分な検討を重ねてクライテリアを作成します。

このクライテリアに従ってアセスメントを行うことで、客観的なリスクに対する評価が行えるようになります。

セキュリティアセスメントを実施する際のポイント

セキュリティアセスメントを実施する際のポイントを3つご紹介します。

現状の構成を明確にする

最初のステップは、自社の情報資産の構成を明確にすることです。

適切な評価を行うためには、まず自社のどこに何があるのかを正しく把握する必要があります。

情報資産の構成を正しく把握することは、ISMSの要求事項の1つでもあります。

アセスメントを行うにあたっては、主要なドキュメントの在りかや、担当者を明らかにし、台帳で管理しておきましょう。

リスク評価をする

参考リンク：クラウドサービスレベルのチェックリスト（経済産業省：2010年）

リスク評価の例を記載します。こちらの一覧は、経済産業省が公開した、クラウドサービスの契約における事前の確認事項を示したチェックリストです。

少し古いものの、現在でもその骨子は十分に活用できるので、最新の規格などに更新したうえで活用できます。

上の画像ではそのうちセキュリティの項目を抜粋しています。チェック項目は情報資産の種類や、業界などに応じて様々なガイドラインが公開されています。

また、リスクの”評価”をするわけですから、これらのチェックを実施した結果、評価結果を記載する必要があります。

こちらの表はかなり簡略化していますが、チェック結果を残し、事前に設定したクライテリアに応じたリスクの格付けを行います。

外部依存の評価をする

セキュリティアセスメントは、自社だけに行うものではありません。自社の事業を運営していくうえで、外部業者に業務委託をしていることは一般的です。

中には、個人情報などの重要な情報を共有していたり、サービス停止すれば自社の事業にインパクトを与える業務を委託している場合も多いでしょう。

これらの外部委託業者は、時に踏み台とされて自社の脅威にもなります。そのため、委託業者も含めたアセスメントが必要です。

多くはセキュリティ対策状況を質問票にまとめて回答を要求します。業者によっては回答が遅かったり、対応してくれないケースもあります。

契約締結時に、契約書内に義務としてセキュリティチェックへの回答を明記するなどの対策も有効です。

情報セキュリティ3要素に新しく追加された4要素

従来から存在する機密性・完全性・可用性の3要素に、新たな要素が加えられています。

不正な漏洩や悪用を防ぐことに重点を置く機密性、情報の正確性と信頼性を保つことを指す完全性、必要なときに適切なデータ利用ができることを保証する可用性が、セキュリティ3大要素として利用されてきました。

セキュリティ3大要素は長年セキュリティ態勢強化の指標として用いられてきた馴染みの深い概念ですが、インターネット環境の発展に伴い、他にも重要視すべき概念が増えてきています。

今では、以下の4つの要素が加えられました。

真正性（Autheniniticy）

真正性とは、本物であることです。たとえばなりすましが行われていないかどうかです。

多くのシステムでは、ユーザーIDを用いて認証を行っています。これにより、利用者がそのIDを利用する権限を持つ本人であることを証明します。

しかし、パスワードの漏えいなどにより他人がなりすますこともあり得ます。これを防ぐため、堅牢な認証基盤を設けるなどの対策方法が考えられます。

信頼性（Reliability）

信頼性は、意図通りの動作が確実に行われるかどうかを表します。たとえばバグがあった場合、意図しない誤った結果を出力する場合があります。これは信頼性が低いと言えます。

サイバー攻撃の一部は、バグが起きる脆弱性を突いて行われます。有名なものでは、メモリ領域への書き込みに潜む脆弱性を突くバッファオーバーフローなどがあります。

信頼性の高いシステムを提供するためには、バグが起きにくい品質管理・テストのプロセスを整備することはもちろん、脆弱性に関する報告を収集し、適宜修正を行っていく脆弱性管理プロセスの確立が必要です。

責任追跡性（Accountability）

責任追跡性は、インシデントが起きた時に操作ログなどを使って挙動を追跡できるかを指します。

現代のサイバー攻撃は高度化が進み、脆弱性が発見されて対策が行われる前に攻撃が行われることもあります。そのため、サイバー攻撃被害を完全に無くすことは出来ません。

このことから、被害が発生した際に検証ができることが必要です。専門業者によるサイバーフォレンジックなどが行われます。

フォレンジックとは鑑識のことで、事件現場の検証のように、PCやサーバーのログを鑑識にかけ、攻撃者が何を行ったのかを明らかにしていきます。

この作業を有効に行えるようにするには、適切なログ管理を実装することが必要です。

否認防止性（Non-Repudiation）

否認防止性とは、インシデントが起きた際に、原因となった人物が行動を否認できないように証拠を残すことをいいます。

責任追跡性とは、ともに「誰が何を行ったのかを明らかにするためにログを残す」という点では同じです。

否認防止性では、否定できないようにするために、デジタル署名を残すなどの対策があります。

たとえば、ログにより操作記録が残っていても、それ自体がサイバー攻撃による乗っ取りであれば、本人による操作でないと否認できてしまいます。

ログ自体が改ざんできないようにする対策は、否認防止性を担保する対策の1つです。

まとめ：セキュリティアセスメントは企業にとって欠かせない

このようにインターネットが発展した社会において、セキュリティアセスメントは企業にとって無視できない業務です。

デジタル化が進むにつれ、企業は多くのセキュリティリスクに直面し、適切に管理しなければなりません。

セキュリティアセスメントを通じて、企業は潜在的な脅威を特定し、その影響を評価し、優先順位に応じて対策を講じることができます。

その結果として、セキュリティの脆弱性を最小限に抑え、クライアントから信頼されるビジネス環境を維持することが可能です。

企業が繁栄し持続的な成長をするためには、セキュリティアセスメントの実施が不可欠であり、この考えは今後も変わることのない事実です。

なお、セキュリティアセスメントに関する案件があれば、株式会社JITERAまでご相談ください。

JITERAに相談する