GRCS シニアアドバイザー 森本哲司
こんにちは、森本哲司です。
これまでの業務や研究で得た知見を交えて、ERM、セキュリティ、ガバナンスについて論評させていただきます。
なお、疑問や問合せのある方は、こちらまでご連絡ください。
(ご返答はお時間ください。)
前回コラムの流れから、今回は取扱いの算定についてご紹介いたします。
主題:優先度を決める際の手法と指標の関係について
セキュリティリスクの算定を行う際に、次のような指標が利用されます。
% セキュリティ志向の観点
脅威×脆弱性×資産価値=リスク値
リスク値は、「重要度」「発生可能性」の指標軸を加算し、分析を深化させると良いと謳われています。資産価値をCIAトライアド(機密性・可用性・完全性)で判断することも多いようです。(*NISTやCIS、OWASPからは平成の価値観と言われそうですが、、、)
果たして、上記のマトリクスの考えで良好な結果が得られるものでしょうか。
CIAトライアドは、セキュリティリスク管理の基本ですが、世界的な動向の視点では先の3原則に4項目を追加、7原則が立てられているのが常識です。(元来のTR13335では6項目でしたが、詳細については、別の機会に解説いたします。)
提案:分析、評価の以前に目的を定義し、対象の範囲と深さを把握する
リスク算定の手法は、大きく3つに分類されます。
①定性的
②定量的
③計数的
上記のマトリクス図は、#2の定量的指標と勘違いされている方が多く、#2は、あくまで準定量的であって定量とは言い難いものです。定量的に整理できると信じている方が多いです。
本来、一定範囲のスコア分布から要因や傾向、分散を分析する手法として定量算定をしばしば採用しますが、、準備、予備的活動ととらえることが多いのも事実です。
例えば、リスク管理部署がアンケート採取やサーベイの結果で得たデータを整理すると惨憺たるものが多数発見され、結果の集計作業は一時停止します。
お客様から手法の妥当性をよく相談されますが、指標の定義を組み立て、アセスメントされています。
しかし、役割や立場での認識差を吸収した組み立てになっていないこと、データの分析目的に対して、どのように不良を取り扱うかを事前に取り決めていないことで、ロスを生む原因になっています。
*不良データの扱い(再調査、削除、無視、足切り)を事前に取り決めていないことなど。
また、この様な状況で、ひとまずリスク度の高いものを抽出し優先度合を決めたい思いから、対象領域を区分した組み立てにおいて、前回のコラムにある事前にリスク選好が行われ、次にその流れの断面から順位付けられています。これではシナリオ分析になりますので、ある種の違和感を持たれて当然ですね。
業務を行う中で実例として、、そのお客様はISMS(情報セキュリティマネジメントシステム認証規格/ISO27001)を取得されているのですが、現状との差分=違和感を感じておられました。
ちなみに、ISO27001:通称ISMSの日本の認定取得数は、先進七カ国の中で突出しています。(論評は別の機会としますが、日本は後進国ではないかと疑います。)
ISMS認証取得の国別状況:ISO SURVEY 2020
- URL: https://www.iso.org/the-iso-survey.html
- URL:データのエクセル:
https://isotc.iso.org/livelink/livelink?func=ll&objId=18808772&objAction=browse&viewType=1
エクセルならではの取りまとめで、内容の切り口が全般的に雑に整理されています。
また、アプローチが国際標準と云いつつ、汎用性に欠ける自在度の少ない指標で固定化されており、その上、役割上の認識差やリスクの選好と受容の関係、漠然とした指標の数値定義の再構築を検討いただくように、助言、路線を変更いただきました。(発生可能性は、発生確率を指しているわけではなく、定性的な大きい小さい、短い長いといった指標に過ぎません。)
結論:識別と特定を正確に進めるためには、手法だけでなく、組織の文化が影響する
あくまでマトリクスを使う目的は、対象とする領域の優先度をガイドするまでにとどめ、絞り込みの工程を追加することで、取組の有効性を高める路線に転換していただきました。その際の指標・基準は、次のように種別を立て、顕在化するまでの時間を算定し、即時発生するものと、ある程度の時間差で発現するものを分離し、領域毎の優先順位を経営陣(C-Suites)、上級管理職に承認を得、予算化の計画、背景を作りこんで進めました。
5種類の指標や基準
①ガバナンス指標・基準 :統制
②マネジメント指標・基準 :管理
③コントロール指標・基準 :制御
④オペレーション指標・基準 :処理
⑤オーディット指標・基準 :保証
目的は、リスクの保有状況をモニタリングし、制御(コントロール)と処理(オペレーション)を促進することになりますが、全量把握をどのレベルで行うかという問題は、意思決定しづらいものです。上級管理者層が自組織(部署)以外との連携により共通用語・言語として何を「軸」に判定するかが成功のカギになります。
これまでの業務慣行を見直したリスク管理は、自組織の特性に従って、段階的に設定することが望ましいと云えます。
ERM志向の観点として考察すると、リスク源(脅威)に対して発見的・予防的観点で「弱み(脆弱性)」をとらえ、それらが顕在化または、潜在化する事由や原因(リスクドライバ)の識別・特定を自動的・手動的に対処可能とすることになります。当然ながら完全無欠ではありません。
また、発生可能性は、常に起こるという前提になります。
つまり、算定結果はリスク値、度合として確定するのではなく対象化した内容が妥当かどうかをまずは、評価するものと位置づけ、リスクのベクトル、予測・予見を見極める活動を行う。
ちなみに、金融分野では複数指標、変数を組み込んだ手法で予測を行います。金融分野のリスクの計量手法の詳細は別の機会としますが、次のように、先ずはリスクを分類しています。
次回は、いくつかのリスクモデルを通じて、セキュリティリスクの分析評価に役立つ、考え方をご紹介します。