GRCS シニアアドバイザー 森本哲司
こんにちは、森本哲司です。
これまでの業務や研究で得た知見を交えて、ERM、セキュリティ、ガバナンスについて論評させていただきます。
なお、疑問や問合せのある方は、こちらまでご連絡ください。
(ご返答はお時間ください。)
前回コラムの流れから、今回は取扱いの妥当性についてご紹介いたします。
主題:リスクモデル(手法)と管理する対象や領域との関係
前回は、情報セキュリティマネジメントで一般的に採用されるリスク管理の手法の陳腐化、形骸化を指摘しましたが、これは、世界的に見てある意味、日本人がお墨付きを好む特性(水戸黄門の印籠⇒ブランド志向⇒Meticulous : マティキュラス:細部まで行き届いていること)を持っていることを推察しますが、今やそのお墨付きも綻びが生じていることではないかと認識しています。
また、前回のセキュリティリスクのマトリクスでは、領域が横断する前の整理、①物理②人③組織④技術⑤製品・財・サービスが不明で、汎用的に業種業態を区別なく取り扱っているところにも問題があります。ISO31000での付録に次のような一覧があります。
リスクアセスメント手法の紹介(引用:ISO31010)
凡例:SA:推奨,A:適用可能
これら手法の適用工程や領域についての指針は記述されていません。
予備調査や本調査などフェーズやタイミングも掲示はされていませんが、その業界の方が見れば、自組織で取り組んでいる手法が散見されるかと想像できます。製造業では、B14故障の木の手法は当たり前で、B7は医療機器から家庭用アプライアンスまで多岐に利用されています。B11は今や事業継続管理以外でも応用されている事業影響度分析も掲示されています。
しかし、この中に例示のセキュリティに係るCIAマトリクス手法はありません。
脅威と脆弱性に対する資産価値へのリスク評価は、CRAMM(CCTA Risk Analysis and Management Methodology)という手法が主流でしたが、日本ではJIPDEC(一般財団法人 日本情報経済社会推進協会)が、脆弱性分析を基にJRMS(JIPDEC Risk Analysis Method 2002)を開発、公開していました。その後、2005年に国際標準化機構でISMSの標準規格化が立ち上がって以降、資産価値を評価する流れが廃れていった経緯があります。
つまり、世界的に見ても、手法自体は、未確立の状況にあり、現在のセキュリティ技術の動向を鑑みれば将来的には、現状よりも先鋭化したセグメント領域を対象化することが求められるのではないでしょうか。
組織や国・地域で共通する対象、組織独自の特性、業態業種毎の傾向を踏まえた緻密な組み立てが求められています。
上記の図は、JIPDEC のJRSMが2002年に公開された頃、次の書籍が出版されましたが、その中での手法を紹介したものです。
「実践・リスクマネジメント」 著:プレストン・G・スミス Preston G. Smith / ガイ・M/メリット Guy M. Merritt 出版社:生産性出版 / 2003年12月刊
対象をマネジメント領域として迫るもので、ドライバーの視点が提起されています。これは、業務の領域では強力な視点になりうるものです。「ドライバー」の言葉のイメージ、概念は、力の伝達機構で、何かを動かす経路の様なイメージでしょうか。
これに石川フィッシュボーンモデルで、物理、人、組織、技術、製品・財・サービスの軸を追加する、置き換えるなどの工夫で、汎用的であるものが、カスタムに利用できます。そのことで対象領域の絞り込みの自在性も高まり、識別と特定が進めやすくなります。
具体的に既存の仕組みにどのように組み込むかは、個々の事情を踏まえた処置が必要になります。
一般的には、アセスメント前の予備調査と本調査を分け、段階的な進展を進める不足・充足要件・要素の精査を行う必要があります。
また、分析手法の視点からの取得データの妥当性を踏まえたアプローチも有効です。
最終的に比率や構成、そして変化を分析するので、セキュリティリスクでは、そこで求められる因子や分解を掘り下げるデータを得ることが重要になります。
一般的に利用される分析手法は、アセスメントで得たデータ集合を数量的に把握した後、次の5種類を中心に実施します。
分析手法
①インパクト分析 :大小、派生、波及
②ギャップ分析 :差分、距離、質量
③トレンド分析 :傾向、変化、方向
④偏差分析 :分布、上下幅、中央と平均
⑤相関分析 :法則、規則、結合度合い
脅威と脆弱性から資産価値に対するリスク度合いを判定後、順位の高いレコードを石川フィッシュボーンモデルを通じて、物理的領域、人的領域、組織的領域、技術的領域、製品・財・サービス領域の軸毎にドライバーを特定すると、重複領域や影響の内容が浮き彫りになります。
対策を立案する前に、各領域の影響を見直し、現状把握の一次的分析を行い、次に発見的対策または、予防的対策までを展望(決定しません)します。
次にそれらに係るフローや仕組みの有無から交錯、横断、省略、分化、統合される全体像を把握、特定し、最終的な領域の細分化レベルを決定します。
この段階では、どこまでの階層で何と何が関係性があるか、無いか、直接的・間接的な影響も含めて筋というかレコードが際立ちますので、立案した対策の有効性を判断する指標を決めることが出来るならば、多層防御体系は仮の完成を迎えることになります。(実行した結果と予測の差分は見直しのドライバーになります。)
金融分野では、2007年のバーゼル規制(BIS規制)以降、損失に対する評価をVaR手法(リスク評価のモデルとしてリスクの大きさを数値で計量化するスキーム)での取り組みが注目されました。デルタ法やモンテカルロ法を駆使し、分析を行う前提に信頼区間の設定、期待損失額:非期待損失額=最大損失額を算定し、市場リスクの価値を評価し、信用リスクを査定しています。
このVaR手法は、金融分野以外でもビジネスの投資判定などでも活用できます。(詳細については別の機会に)
また、「モデル」という概念については、金融庁では、2021年11月「モデル・リスク管理に関する原則」を公開しています。
「モデル・リスク管理に関する原則(案)」の公表について
https://www.fsa.go.jp/news/r2/ginkou/20210625/20210625.html
「モデル・リスク管理に関する原則」に対するパブリックコメントの結果等について
https://www.fsa.go.jp/news/r3/ginkou/20211112.html
次回は、NIST、CIS、OWASPフレームワークとリスク計量化について解説いたします。