Risk Management

Risk Assessment

リスクアセスメント(リスク評価)

Category: Risk Management / Updated: 2026-05-26

📖

概要

リスクアセスメント(Risk Assessment)とは、組織が直面する情報セキュリティ上のリスクを体系的に特定・分析・評価するプロセスです。ISO 31000やISO/IEC 27005などの国際規格に基づき、資産に対する脅威と脆弱性を洗い出し、リスクの大きさを判断することで、適切なリスク対応策の選択を支援します。リスクアセスメントは、組織のセキュリティ戦略の根幹を成す最も重要な活動の一つです。

リスクアセスメントのプロセスは、大きくリスク特定(Risk Identification)リスク分析(Risk Analysis)リスク評価(Risk Evaluation)の3段階で構成されます。リスク特定では保護すべき資産と脅威・脆弱性を列挙し、リスク分析では発生可能性と影響度を算定し、リスク評価では分析結果をリスク基準と比較して対応の優先順位を決定します。

アプローチとしては、資産ベースアプローチシナリオベースアプローチが広く採用されています。資産ベースでは情報資産台帳をもとに各資産の機密性・完全性・可用性への影響を評価し、シナリオベースでは想定される攻撃シナリオや事故シナリオに基づいてリスクを分析します。両者を組み合わせることで、網羅的かつ実践的なリスクアセスメントが実現できます。

🔬

詳細解説

ISO 31000に基づくリスクマネジメントフレームワーク

ISO 31000は、リスクマネジメントの国際標準規格であり、あらゆる種類のリスクに適用可能な原則とガイドラインを提供します。この規格では、リスクマネジメントを「リスクについて組織を指揮し管理するための調整された活動」と定義し、リスクアセスメントをその中核プロセスとして位置づけています。

ISO 31000のフレームワークは、コミュニケーション及び協議、適用範囲・状況・基準の設定、リスクアセスメント(特定・分析・評価)、リスク対応、モニタリング及びレビュー、記録及び報告の各要素で構成されます。このプロセスは反復的であり、状況の変化に応じて継続的に見直される必要があります。

リスク特定(Risk Identification)

リスク特定は、リスクアセスメントの最初のステップであり、組織が保護すべき情報資産を洗い出し、それらに対する脅威(Threat)脆弱性(Vulnerability)を特定する作業です。情報資産には、サーバー・ネットワーク機器などの物理資産、データベース・ソースコードなどの情報資産、従業員の知識・スキルなどの人的資産が含まれます。

脅威の特定には、外部攻撃者による不正アクセス、内部関係者による情報持ち出し、自然災害によるシステム停止など、多角的な視点が求められます。脆弱性については、技術的な脆弱性(未パッチのソフトウェアなど)だけでなく、運用面の脆弱性(手順書の不備など)や人的脆弱性(セキュリティ教育の不足など)も含めて評価します。

リスク分析(Risk Analysis)

リスク分析では、特定されたリスクの発生可能性(Likelihood)影響度(Impact)を評価します。定量的分析では金額ベースで期待損失額を算出し、定性的分析では「高・中・低」などのレベルで評価します。両者を組み合わせた半定量的分析も一般的です。

分析結果はリスクマトリクスに整理され、発生可能性と影響度の二軸でリスクの大きさを視覚的に把握できるようにします。このマトリクスにより、組織は限られたリソースをどのリスクに優先的に配分すべきかを判断できます。

リスク評価(Risk Evaluation)

リスク評価は、リスク分析の結果を組織のリスク基準(リスク受容基準)と比較し、リスク対応の要否と優先順位を決定するプロセスです。リスク基準は、経営層が承認したリスクアペタイト(リスク選好)に基づいて設定されます。

評価の結果、リスク受容基準を超えるリスクについては、回避・低減・移転・受容のいずれかの対応策を選択します。また、リスク評価は一度実施して終わりではなく、脅威環境の変化やビジネス状況の変化に応じて定期的に見直すことが不可欠です。

資産ベースアプローチとシナリオベースアプローチ

資産ベースアプローチは、組織の情報資産台帳を起点として、各資産に対する脅威と脆弱性を体系的に分析する手法です。ISMSの認証取得においては、このアプローチが広く採用されています。資産の価値評価、脅威の特定、脆弱性の評価、既存管理策の有効性評価を順次行い、残留リスクを算出します。

シナリオベースアプローチは、実際に発生しうる攻撃シナリオや事故シナリオを描き、そのシナリオが現実化した場合の影響を分析する手法です。ペネトレーションテストの結果や脅威インテリジェンスを活用し、より現実的なリスク評価が可能になります。近年では、サイバー攻撃の高度化に伴い、このアプローチの重要性が増しています。

🛡️

セキュリティ対策

  • 01
    情報資産台帳の整備と最新化:組織内のすべての情報資産を漏れなく棚卸しし、資産台帳として一元管理してください。サーバー、ネットワーク機器、データベース、クラウドサービス、紙媒体の文書まで含め、資産の所有者・管理者・重要度を明確に記録し、定期的に更新を行いましょう。
  • 02
    脅威インテリジェンスの活用:業界固有の脅威情報やCVE情報、JPCERT/CCの注意喚起などを継続的に収集し、リスク特定に反映してください。脅威の動向は日々変化するため、最新の攻撃手法やマルウェアの情報を常に把握し、リスクアセスメントの精度を高めましょう。
  • 03
    リスク評価基準の明確化と経営層承認:リスクの受容基準・評価基準を明文化し、経営層の承認を得てください。リスクアペタイトを組織全体で共有することで、リスク対応の判断にブレが生じることを防ぎ、一貫性のあるリスク管理が実現できます。
  • 04
    定期的なリスクアセスメントの実施:年次の定期見直しに加え、重大なインシデント発生時、システム変更時、組織変更時など、環境の変化に応じて臨時のリスクアセスメントを実施してください。リスクは静的なものではなく、常に変動することを認識しましょう。
  • 05
    複数のアプローチの組み合わせ:資産ベースアプローチとシナリオベースアプローチを組み合わせ、網羅性と実践性を両立させてください。資産ベースでは見落としがちなサプライチェーンリスクや新種の攻撃手法も、シナリオベースを併用することでカバーできます。
  • 06
    リスクアセスメント結果の文書化と共有:アセスメント結果をリスク登録簿(リスクレジスター)として文書化し、関係者間で共有してください。リスクの所有者、対応策の進捗状況、残留リスクの状態を追跡可能にし、PDCAサイクルによる継続的な改善につなげましょう。
⚠️

事故事例

📋 大手製造業におけるリスクアセスメント不備による生産停止(2021年)

2021年、国内大手製造業がランサムウェア攻撃を受け、主要工場の生産ラインが約1週間停止する事態が発生しました。同社ではリスクアセスメントを実施していたものの、OT(制御系)ネットワークのリスク評価が不十分であり、IT/OT接続部分の脆弱性が見落とされていました。

攻撃者はVPN機器の既知の脆弱性を悪用して社内ネットワークに侵入し、IT系からOT系へ横展開を行いました。リスクアセスメントにおいてOT環境を評価対象に含め、IT/OTの境界セキュリティを適切に評価していれば、被害の拡大を防げた可能性があります。この事例は、アセスメント範囲の重要性を示す教訓となりました。

📋 医療機関における患者データ漏洩とリスク評価の形骸化(2022年)

2022年、ある地方の医療機関において、電子カルテシステムへの不正アクセスにより約5万件の患者情報が流出しました。同機関ではISMS認証を取得しており、年次のリスクアセスメントを実施していましたが、評価プロセスが形骸化しており、実際の脅威環境を反映していませんでした。

具体的には、リモートアクセス環境の拡大に伴うリスクの再評価が行われておらず、VDI環境のアクセス制御不備が放置されていました。形式的なリスクアセスメントではなく、実効性のある評価プロセスを維持することの重要性を改めて認識させる事例となりました。

📋 金融機関のサードパーティリスク評価不足によるインシデント(2023年)

2023年、大手金融機関がクラウドサービスプロバイダーの設定ミスにより、顧客の取引情報が一時的に外部からアクセス可能な状態になりました。同金融機関ではリスクアセスメントを定期的に実施していたものの、サードパーティに対するリスク評価が自社システムと同等の厳密さで行われていませんでした。

クラウド事業者の責任共有モデルに基づく役割分担は理解していたものの、事業者側の設定変更に伴うリスクの再評価プロセスが確立されていなかったことが原因でした。サプライチェーン全体を対象としたリスクアセスメントの必要性が浮き彫りになった事例です。

🔗

関連用語

リスク分析(定量的・定性的分析) リスクレジスター(リスク登録簿) リスク対応戦略 ISMS(情報セキュリティマネジメントシステム) NIST CSF(サイバーセキュリティフレームワーク)