トーマツ方式リスクアセスメントの弱点は本当に弱点か?
先ず、
資産の洗い出しはプロセス毎に行う。通常は小さな業務グループ単位に行う。業務プロセス=業務グループとみなす。資産調査表はインプット情報、アウトプット情報、イン・アウトの無い情報に大別される。洗い出すのは情報コンテンツで、その保管形式(紙、メディア、サーバー)の区分なども入れる。コンテンツ単位で管理者も記載する。調査表と資産台帳は同じ書式。管理者が管理者として了承したら台帳になるようなもの。
ここでの課題は洗い出しの網羅性がどのように確保されているか。おそらく、網羅性の確保には特に拘っていないのだろう。初期段階では大枠で把握できれば充分と見る考え方もある。ただ、何れ手直しが前提とすれば、ISMSのシステム構築が出来たとは言いがたい。
通常、台帳と言うものは目的の項目(キー情報)について、1件1葉または1件1行の形で整理されるものですが、トーマツではコンテンツ名がキー情報になります。資産は媒体によって管理の仕方が変わりますが、ここではお構いなし。物理的な実態に照らせば、資産の分類表に見えます。
資産台帳では資産の価値評価は行いません。規格が示す手順と整合しているか分かりません。
次に、
重要な資産については業務プロセスを更に細かく見てリスク評価を行いますが、どれが重要かは主要な情報として捕らえれば自明と言うことで、結局、部門業務プロセスをサブプロセスに落として、先ほどのインプット、アウトプットを並べなおすことになります。
サブプロセス毎に、①脅威、②脅威発生時の被害(資産価値に相当)、③現状の管理策、④脆弱性、⑤リスクレベル(①*②*③)、⑥追加の管理策などを評価していきます。
ここでの懸念は、サブプロセスの評価であって、資産が特定されていないこと、更に資産価値のCAIの側面が曖昧なことです。ここも、規格の要求にあっているか分かりません。リスクが認識されても、どの資産のどの側面(CIA)についてのリスクか判断が難しくなります。
この方式は、
当初、ざっくりと全体を把握するには利用できる方法論かもしれません。サブプロセス単位で見るので簡単に着手できるのがポイントでしょう。ベースライン方式による管理策の範囲では有用かもしれません。しかし、将来に渡って継続的に利用するのは適当とは思えません。詳細リスク分析には適していないように見えます。
従って、独断で言えば、更新審査のときもこの方式でリスク評価を実施していたら、既に失敗かもしれません。適材適所の発想が必要で、小学校に上がっても園児服を着ているわけには行かないのと同じことです。
.*.