洗い出した情報資産は、機密性＜認可された領域・人のみに情報資産の使用もしくは開示をする＞、完全性＜正確である、最新である、左記の状態を維持している＞、可用性＜必要な時に利活用できる＞のそれぞれの状態の喪失に伴うリスクを特定する事を求められています。

実際にリスクアセスメントの結果をみると、リスクの特定がしっかりと出来ていない事が見受けられます。実態を見て、肝心なリスクの漏れや抜けを防ぎ、組織の情報セキュリティのレベルアップにつながる情報をお伝えします。

その情報資産はどこにあるのか

その特定した情報資産は、リアルな空間で使われ、保管されているのか、それともデジタル空間で作成、使用、保管されているのかを確認してください。

リアルな空間での使用とは、事務所にある装置、機器、紙媒体、施設の情報資産や、社員が社内外で使っているPC、スマホ、タブレット　等が該当します。

デジタル空間でのインターネットを使ってやりとりした情報やサービスの利用、ソフトやアプリの使用　等が考えられます。

そこをしっかりと捉えていないとその後のリスク（脅威）の特定に漏れや抜けが出てしまいます。シンプルに言うと「今ある情報資産の状況を正確に把握しているか」ということです。

業務プロセスごとに情報資産を洗い出していきますが、ただ、単に情報資産を何でもいいから洗い出すとなると途方にくれます。業務プロセスごとにある情報資産で「リアルな空間で使用しているもの」と「デジタル空間にあるもの」という基準を設ける事で効率的に特定し、整理することができます。

情報のライフサイクルを捉える

一つ情報（データ）のライフサイクルには、入手/作成、利用/活用、保管/保存、移送、廃棄　まで、それぞれの段階があります。情報のリスクについては、それぞれの段階ごとのリスクを機密性、完全性、可用性の観点で特定していきます。

これまで、情報資産の台帳を作ってリスク評価を行う際に、よくあるのは、作成したデータを紙媒体に出力して利用や保管、廃棄する系統と作成した電子でのデータがその後、利用、保管、廃棄という系統に分かれてそれぞれリスク（脅威）を特定して、現状の取り組みをもとにリスク評価を実施した上で、管理策をどうしていくのかを決めないといけないのですが、「紙媒体」から「電子媒体」に変換（その逆もあります）していく過程を見過ごしてしまいがちです。

機器や装置、ソフトについては、その廃棄する際のリスク（脅威）を見逃してしまう組織がよくありました。一人で情報資産のリスクアセスメントを実施しない。なるべく多くの人が参画することでリスクの特定漏れの対応をして下さい。

可用性を忘れない

これまでリスクアセスメントを支援してよくあるのは、「可用性」の観点が抜け落ちてしまう事です。最近支援をした中小企業も機密性や完全性の観点で、外部攻撃や内部の運用の不備から情報の漏えい、改ざん　について特定していたのですが、「可用性」の観点で社内における情報の利活用が出来ないリスクの特定がありませんでした。

検索してもすぐにみつからないデータ、どこにファイルしているか探すのに時間がかかる紙媒体の資料、必要なソフトやOSの更新がパソコンのスペック不足でままならない状況も可用性の一部です。業務を止めずに滞りなく進めていくために、内部のインフラの状況の最新の把握は必須です。

先日も、中小企業で使用している複数のPCに上記のリスクがある事が発覚しました。ITインフラの管理の方法もないため、台帳の作成を支援しました。それによって、現状把握が出来、経営層に実態報告と今後のインフラの入替のプランを説明し、了承を得て導入を進めることになりました。

「可用性」は手続きを簡略化して現場にどんどん権限を与えてしまうと大変な脅威にもなります。当然バランスは必要です。ただ、自分達が仕事を止めずにセキュリティとバランスを取りながらリスクを見ていく視点も持ち合わせて下さい。