東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

リスクアセスメントの具体例
~リスクを把握し評価する~

リスクアセスメントの事例

リスクアセスメントはさまざまな場面で行います。最近ではDXやデジタル化の影響もあり、今までのビジネスのあり方から変化するにあたり、リスクアセスメントが求められるシーンが増えてきています。ある会社では、クラウドを利用した新サービスを導入することとしました。社員が利用するだけでなく、社外の人も利用する予定のクラウドシステムです。今までに無かった使い方なので、リスクアセスメントもより慎重に行うこととしました。脅威や脆弱性の洗いだしでは、サービス提供会社の状況まで確認し、リスク分析に活かしました。

リスクアセスメントの事例

まず行ったことは、これらシステムの資産価値の分析です。今回のクラウドサービス導入の目的と照らし合わせて考えます。今回の目的は、社外の特定ユーザーに会社の情報を届けることです。また社外ユーザー間でもコミュニケーションを取ることになります。すなわち、社外ユーザーにとって価値がある情報のやり取りも行われます。資産価値としては非常に高い位置付けとなりました。

次に行ったことは脆弱性の把握です。これには2つの観点があります。一つは、サービス提供会社に関する脆弱性です。「利用するシステムの脆弱性の把握をどのようにしているのか? 」「従業員のセキュリティ意識はどうか?」などを確認していきました。確認には質問票を作成し、サービス提供事業者へ記載してもらいました。もう一つは自社の利用における脆弱性です。パスワード管理の方法や外部利用者の認証方法などを検討していきました。
そして脅威分析です。STRIDE分析などに基づきシステムの状況を確認し、ATTACKツリーで利用方法における脅威について検討を行いました。システム面については、最近のスタンダードな対策は取られており、問題は使い方でした。特になりすましの脅威については完全には排除できないことも想定されました。社外利用者はなかなかルールの統一が難しかったからです。

目標達成

今回のリスクアセスメントの結果、目的達成に必要な条件などを考慮し運用ルールの細かい設計を行いました。最終的には利用に伴う利用規定を定め、参加者が安全な利用を行えるような対策を施しています。