情報システムのリスクマネジメントとは？対策事例をご紹介します

なぜ情報システムの「リスク」を、「マネジメント」しなければならないのでしょうか。この「リスク」の範囲は広く、誰も免れることはできません。だからこそバランス良く効率的で負担の少ない方法を、着実に実施し続ける「マネジメント」が必要です。綿密な調査だけでなく、解決する目標を自ら決めて実行することが何よりも大切です。想定する「リスク」によりどのような解消事例があるのか、あわせてご紹介します。

情報システムのリスクマネジメントとは

広く使われている「リスク」という用語には単に「何かが危険」というより、まずは「不確実なことを忘れないようにしよう」という意思が込められていると考えます。情報システムの場合も同様です。たとえ多くのテストを経て完璧につくられていたとしても、全く関係なく予期しない出来事によって利用できなくなることが往々にしてあります。そのため本来の作業とは別に、あるいはそれ以上に、動作し続けるために可能な範囲で準備をするのが一般的です。ただ資金も時間も限りがあるため、むやみに全てを完全にやろうとはせずに、要領良く進めることが多いのではないでしょうか。ここに「マネジメント」が取り入れられている所以です。

概要

一口に「情報システム」の「リスクマネジメント」と言っても、その対象は広大なため実施するには最初の手がかりが必要です。この記事では、情報セキュリティをマネジメントするために必要な、以下の本質的な考え方にそってまとめています。

1. 秘密にするデータはしっかり守る（機密性）
2. 一部が欠けたり、間違っていることがないようにする（完全性）
3. 利用したいときはいつでも利用できようにしておく（可用性）

これらの3つとも当たり前のことのように感じます。ただ情報システムを「普通に」動かしたり、利用することができなくても困らないように備えをするとき、頼るべき重要な考え方です。

必要不可欠な理由

ずばり損失が出るからです。

想定される被害者

• 情報システムの提供者
• 情報システムの利用をして何らかのサービスを提供する事業者
• 上記のサービスを利用する最終消費者

被害例と必要不可欠な理由

情報システムのリスクマネジメントが定着すれば、以下の事例に対処でき、損失を最小限に抑えることができるなどの効果があります。この効果は組織の規模とは関係なく、また対処により誰にも恩恵があります。

（1） 被害例

• 企業の機密情報や顧客の重要情報の漏えい
• 情報システムの停止
• 悪意のある第三者による攻撃（不正アクセス、マルウェア感染など）
• 組織内部の関係者による不正行為や意図しない操作ミス

（2） 受ける恩恵の例

• 損失を最小限に抑える
• 改正個人情報保護法などの関連法規を守った組織運営

マルウェア対策について、カゴヤのサーバー研究室では以下の記事で解説しています。

リスクアセスメントとの違い

「アセスメント（assessment）」とは客観的な評価の意味があり、組織運営など多くの分野で使われている用語です。リスクに関連する場合は「リスクアセスメント」として調査や分析、さらに評価までを担います。一方「リスクマネジメント」は「リスクアセスメント」の評価を重視し、さらに問題解消のために対策を実践し、より良く改善するところまでが範囲です。どちらかに優劣があるという話しではありません。

基本的な進め方とリスクへの対応方法

この章では国際規格にそってわかりやすく解説します。国際規格には、決して難しい理論が書かれている訳ではありませんが、内容は随時更新されているため最新の内容を理解する必要があります。

基本的な進め方

「情報セキュリティマネジメントシステム」に含まれている国際規格が有名ですが、リスクマネジメントに特化した規格もあります。ここからは後者にもとづいて説明を進めます。

（参考）

名称	国際規格
情報セキュリティマネジメントシステム（ISMS）	ISO/IEC 27001
リスクマネジメント−原則及び指針	ISO31000:2009

おおまかな進め方は以下の通りです。

1. 「リスクアセスメント」（リスクの特定、分析、評価）の実施
2. 国際規格をもとに「リスク対応」する手順の作成
3. 対策計画を立案
4. 対策するための具体的な手段（サービス）を選択し導入

リスクへの対応方法

リスクアセスメント（リスクの特定、分析、評価）後に、リスク対応する手順を「リスクマネジメント−原則及び指針」（ISO31000:2009）にもとづいて作成します。リスクアセスメントして分かったそれぞれのリスクを、以下のどれに相当するか分類していきます。

分類名	内容	例
リスクの回避	リスクによる損失が大きすぎるため、発生原因そのものを停止する	事業を他社に売却する
リスクの適正化	リスクをとったり、リスクの起こりやすさやその結果を変える	地震発生時に全システムが停止する可能性を減らすため、拠点を分散する
リスクの共有	契約や保険などにより、リスクの影響を他に移転する	・自組織のシステムをデータセンター事業会社など、専門業者に委託する。 ・保険加入や株式、債券など資金調達に関わる準備をする
リスクの保有	あらかじめ判断してから、そのリスクを保有し続けることを決意する	現実的な対策がない時に選択する

対策計画を立てる

リスクへの対応方法により、それぞれの具体的な実施計画を作成していきます。その際に、実施目的は自組織のためだけではなく、利用者あるいは周りの環境を考えて進めましょう。

情報システムのリスクマネジメント対策計画例

いよいよ、対策するための具体的な手段（サービス）を選択し導入する段階です。全てを徹底して実施することが理想ですが、時間と予算の制限があるため、優先順位を自ら設定して対策を進めていくのが現実的と考えます。

組織により優先順位と許容範囲は全く異なります。ここからは以下のような典型的な事例を想定し、ここまで説明した手順にそって簡易的にまとめています。これでリスクのアセスメントから対応までの流れを、おおよそ掴むことができるのではないでしょうか。

（事例1） 外部の攻撃から重要な情報を守りたい

（事例2） データが消えても事業を継続、またはできる限り早く再開したい

【事例1】 外部の攻撃から重要な情報を守りたい

リスクアセスメント（リスクの特定、分析、評価）	以下の対策を至急したい ・秘密にするデータなどがしっかり守られていない ・情報システムやネットワーク、またはその管理方法が整っていない
リスクへの対応方法	リスクの共有（専門業者に委託）
対策計画を立案	・重要な情報を守るために必要な、対象の調査と絞り込み ・手段（サービス）の導入計画（予定と予算含む）と選定
選定した手段（サービス）の候補	各種ファイアーウォール、IPS、VPNサービス

 【事例2】 データが消えても事業を継続、またはできる限り早く再開したい

リスクアセスメント（リスクの特定、分析、評価）	・さまざまな原因により事業が継続して実施できず、その結果経営に影響が出ることを避けたい ・各種障害や災害などが発生した場合の対策が組織内でまとまっていない ・重要な情報のバックアップ対策などを、緊急度の高いものから順次導入し稼働したい
リスクへの対応方法	・リスクの適正化 ・リスクの共有（専門業者に委託）
対策計画を立案	・バックアップだけでなく、障害時に復旧する手順の作成と訓練などの準備 ・手段（サービス）の導入計画（予定と予算含む）と選定
選定した手段（サービス）の候補	バックアップサービス

選定した手段（サービス）にはどのようなものがあるか

この章では、選定した手段（サービス）をカゴヤ・ジャパンの場合で説明します。

【事例1】 外部の攻撃から重要な情報を守りたい

専用ファイアーウォール

目的	外部からの不正なアクセスからデータを守る
機能・特徴	許可または遮断する通信ポートは、標準的な設定にして提供（個別対応も可）
料金	初期費用 33,000円、月額費用 9,900円から
詳細情報	https://www.kagoya.jp/dedicated/flex/option/101.html

マネージド付ファイアーウォール

目的	ファイアーウォールの提供だけでなく、その設定変更や機器の監視まで代行する
機能・特徴	・ルーター機能とファイアーウォール機能が標準装備 ・機器レンタル/初期設定/運用・監視/保守/設定変更の対応（フルマネージドサービス） ・24時間365日監視・高度な不正アクセス対策が可能（IDS/ADS） ・万一の機器障害時にも安心（自動切替）
料金	月額費用 17,600円から *業界最安値クラス
詳細情報	https://www.kagoya.jp/dedicated/flex/option/102.html

マネージドサービスの用語については、カゴヤのサーバー研究室では以下の記事で詳しく解説しています。

WAF

目的	Webサイト上のアプリケーションに特化したファイアーウォール（Web Application Firewall）
機能・特徴	・24時間365日クラウド上のセキュリティシステムを監視 ・クラウド型のため導入や運用が簡単 ・外部からの攻撃を検知すると遮断および利用者へメール通知
料金	初期費用 55,000円 一括払い 528,000円（年間費用）、毎月払い 44,000円 × 12ヶ月
詳細情報	https://www.kagoya.jp/dedicated/flex/option/103.html

IPS

目的	攻撃や不正侵入をブロックする
機能・特徴	・利用中の回線を、不正侵入検知・防止機能を持った回線に切り替える ・攻撃やブロックについての月次レポートを提供 ・世界中から収集された最新情報を元に24時間更新をかける体制（提携サービス）
料金	初期費用 11,000円、月額費用 11,000円から
詳細情報	https://www.kagoya.jp/dedicated/flex/option/58.html

専用UTM

目的	セキュリティ対策を複合的に行う
機能・特徴	・統合的なセキュリティ機能（ファイアーウォール＋IPS＋ウィルスチェック＋SPAMチェック）を搭載したUTM機器を提供 ・設定管理等に対応するマネージドサービスやログ集積サービスあり
料金	月額費用 22,000円から
詳細情報	https://www.kagoya.jp/dedicated/flex/option/49.html

マネージドVPNサービス（VMR）

目的	実績あるVPNサービスの利用
機能・特徴	・24時間365日の死活監視、オンサイト保守、設定変更などのマネージドサービスを提供 ・利用者の拠点とデータセンターにルーターを設置し、VPNを構築（バリオセキュア社製）
料金	ニーズに合わせた料金プランを提供
詳細情報	https://www.kagoya.jp/dedicated/flex/option/302.html

マネージド付セキュアルーター

目的	必要な機能を積み重ねて、要望に応じたセキュリティ機能を利用する
機能・特徴	・様々なご要望や構成に対応できる高機能のルーターの提供（バリオセキュア社製） ・24時間の稼働監視・運用監視 ・設定サービスあり（提携サービス）
料金	ニーズに合わせた料金プランを提供
詳細情報	https://www.kagoya.jp/dedicated/flex/option/304.html

【事例2】 データが消えても事業を継続またはできる限り早く再開したい

バックアップサービス

目的	大容量のデータを安心してバックアップする
機能・特徴	・設定したスケジュールで、指定したデータを外部ストレージへバックアップ ・間違って削除したり上書きしてしまったデータを素早く復旧可能 ・バックアップの処理結果は登録してあるメールアドレスへ自動送信
料金	【Liteプラン】 月額費用 無料 【Pro】 月額費用 550円～ 【専用タイプ】 月額費用 33,000円
詳細情報	https://www.kagoya.jp/dedicated/flex/option/661.html

クラウドバックアップ

目的	クラウド環境を利用したバックアップで万全のBCP対策を行う
機能・特徴	【Acronis】 ・OSを含むシステム全体のバックアップ ・物理サーバー・仮想サーバー・PC問わず、データの全てをクラウド環境にバックアップ ・イメージバックアップデータからベアメタル環境へ復元可能 【VDaP】 ・ローカル環境内でのバックアップ取得とクラウド２か所への自動複製 ・ランサムウェア感染による被害を回避し、企業の重要なデータをバックアップ ・バリオセキュア社による監視と運用、障害時対応のサポートあり
料金	【Acronis】 初期費用 無料、月額費用 2,200円から 【VDaP】初期費用 198,000円から、月額費用 22,000円から
詳細情報	https://www.kagoya.jp/cloud/backup/