<p><!-- { "title": "情報セキュリティのリスク対応 - ISO/IEC 27001に基づく解説", "primary_category": "情報セキュリティ", "secondary_categories": ["ISMS", "ISO/IEC 27001"], "tags": ["IPA午前Ⅱ", "情報セキュリティマネジメントシステム", "リスクアセスメント", "リスク対応", "ISMS認証"], "summary": "IPA午前Ⅱ試験で頻出する情報セキュリティのリスク対応について、ISO/IEC 27001の要求事項に基づき、リスクアセスメントからリスク対応策の選択までを解説します。", "mermaid": true, "verify_level": 2, "tweet_hint": "IPA午前Ⅱの「情報セキュリティのリスク対応」をISO/IEC 27001の視点から解説。リスクアセスメントと4つのリスク対応オプションを理解し、ISMSの実践に役立てよう！", "link_hints": [ "https://www.iso.org/standard/82875.html", "https://www.jipdec.or.jp/isms/index.html", "https://www.ipa.go.jp/security/hakusho/2024.html" ] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">情報セキュリティのリスク対応 – ISO/IEC 27001に基づく解説</h1> <p>情報セキュリティのリスク対応は、ISO/IEC 27001に基づくISMSの核となるプロセスで、リスクアセスメント結果に基づき最適な対策を選択する点が重要である。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["情報セキュリティリスクマネジメント"] --> B("リスクアセスメント"); B --> B1("リスク特定"); B1 --> B2("リスク分析"); B2 --> B3("リスク評価"); B3 --> C{"リスク受容基準と比較"}; C -- 受容可能の場合 --> D["リスク受容"]; C -- 受容不可能な場合 --> E("リスク対応策の選択"); E --> E1["リスク変更<br>(対策適用)"]; E --> E2["リスク回避"]; E --> E3["リスク共有<br>(移転)"]; E --> E4["リスク保有<br>(受容)"]; E1 --> F["残存リスク評価"]; E2 --> G["活動・プロセスの変更/中止"]; E3 --> H["保険加入・アウトソーシング"]; E4 --> I["正式なリスク保有判断"]; F --> J("適用宣言書の作成"); J --> K("ISMSの継続的改善"); D --> K; </pre></div> <h2 class="wp-block-heading">背景</h2> <p>ISO/IEC 27001は、組織が情報セキュリティマネジメントシステム（ISMS）を確立、導入、維持、継続的に改善するための国際標準規格である。この規格は、情報資産を機密性、完全性、可用性の観点から保護し、組織の事業継続性を確保するための体系的なアプローチを提供する。その中核をなすのが、情報セキュリティリスクマネジメントプロセスである。情報処理推進機構（IPA）が発行する情報セキュリティ白書2024（2024年3月29日発行）でも、リスクマネジメントの重要性が繰り返し強調されている[3]。</p> <h2 class="wp-block-heading">リスク対応の要点</h2> <p>ISO/IEC 27001では、まず情報資産に対するリスクを特定し、その発生可能性と情報資産への影響度を評価するリスクアセスメントを実施する。このプロセスを経て算出されたリスクレベルが、組織が定める「リスク受容基準」を超える場合、何らかの対策を講じる「リスク対応」が必要となる。日本情報経済社会推進協会（JIPDEC）のISMS適合性評価制度（2024年6月15日更新）においても、このリスクアセスメントとリスク対応の適切性が認証審査の重要な要素とされている[2]。 リスク対応には、主に以下の4つの選択肢が存在する[1]。</p> <h2 class="wp-block-heading">リスク対応策の種類と適用手順</h2> <p>情報セキュリティのリスク対応における主要な4つの選択肢は以下の通りである。</p> <ol class="wp-block-list"> <li><p><strong>リスク変更（Modify Risk / リスク低減）</strong></p> <ul> <li><p><strong>概要:</strong> リスクの発生可能性や、リスクが発生した場合の影響度を低減するための管理策（対策）を適用する。最も一般的なリスク対応策である。</p></li> <li><p><strong>手順:</strong></p> <ol> <li><p>リスクアセスメントで評価されたリスクを特定する。</p></li> <li><p>リスクの発生可能性や影響度を軽減するための具体的な管理策を検討・選択する。例として、ファイアウォールの導入、多要素認証の実装、セキュリティ教育の実施、脆弱性管理プロセスの確立などが挙げられる。</p></li> <li><p>選択した管理策を導入し、有効性を評価する。</p></li> <li><p>管理策を適用した後の残存リスクを再度評価し、リスク受容基準と比較する。</p></li> </ol></li> <li><p><strong>例:</strong> 標的型攻撃による情報漏洩リスクに対し、サンドボックス型検知システムの導入や従業員への継続的な訓練を実施する。</p></li> </ul></li> <li><p><strong>リスク回避（Avoid Risk）</strong></p> <ul> <li><p><strong>概要:</strong> リスクを伴う活動やプロセス自体を中止、または根本的に変更することで、そのリスクが発生する可能性を完全に排除する。</p></li> <li><p><strong>手順:</strong></p> <ol> <li><p>特定の活動やプロセスに内在するリスクが極めて高く、他の対応策では受容可能なレベルにまで低減できないと判断する。</p></li> <li><p>当該活動やプロセスの中止、または事業内容・提供サービス自体の変更を検討する。</p></li> <li><p>回避によって失われる機会や、回避に伴う新たなリスクも考慮し、経営層が意思決定を行う。</p></li> </ol></li> <li><p><strong>例:</strong> セキュリティ上の脆弱性が解消できないレガシーシステムを利用したサービス提供を中止する。</p></li> </ul></li> <li><p><strong>リスク共有（Share Risk / リスク移転）</strong></p> <ul> <li><p><strong>概要:</strong> リスクの一部または全部を第三者に移転することで、リスクが発生した場合の費用負担や責任を分散させる。</p></li> <li><p><strong>手順:</strong></p> <ol> <li><p>リスクが組織にとって負担が大きいと判断した場合、そのリスクを外部の組織や仕組みに委ねる可能性を検討する。</p></li> <li><p>具体的な移転方法として、サイバー保険への加入、セキュリティ対策業務の専門業者へのアウトソーシング、クラウドサービスの利用（サービスレベルアグリーメント: SLAに基づく責任分担）などが挙げられる。</p></li> <li><p>契約内容やSLAを十分に確認し、移転されるリスクの範囲と組織に残るリスク（残存リスク）を明確にする。</p></li> </ol></li> <li><p><strong>例:</strong> 大規模なデータ侵害が発生した際の経済的損失に備え、サイバー保険に加入する。</p></li> </ul></li> <li><p><strong>リスク保有（Retain Risk / リスク受容）</strong></p> <ul> <li><p><strong>概要:</strong> リスクを認識した上で、あえて何の対応策も講じず、組織自身がそのリスクを受け入れること。</p></li> <li><p><strong>手順:</strong></p> <ol> <li><p>リスクが軽微である、または対策を講じる費用がリスクの潜在的な損害に見合わないと判断する。</p></li> <li><p>組織のリスク受容基準と比較し、受容可能なリスクであると評価する。</p></li> <li><p>この選択は、経営層によって正式に承認され、その理由が文書化される必要がある。</p></li> </ol></li> <li><p><strong>例:</strong> 発生頻度が極めて低く、かつ影響も軽微なITシステムの不具合に対し、即座の対策は行わず、偶発的な発生を許容する。ただし、定期的な監視は継続する。</p></li> </ul></li> </ol> <h2 class="wp-block-heading">要点</h2> <ul class="wp-block-list"> <li><p>情報セキュリティリスク対応は、リスクアセスメントの結果に基づき、組織のリスク受容基準を満たすためのプロセスである。</p></li> <li><p>主要な対応策は、「リスク変更（低減）」「リスク回避」「リスク共有（移転）」「リスク保有（受容）」の4種類である。</p></li> <li><p>「リスク変更」は管理策を適用してリスクを低減する最も一般的な方法である。</p></li> <li><p>「リスク保有」は、リスクを認識しつつも対策を講じない選択であり、正式な承認と文書化が必須となる。</p></li> <li><p>これらの選択肢を適切に組み合わせ、組織の情報セキュリティレベルを最適化することがISMS実践の鍵となる。</p></li> </ul> <hr/> <p><strong>参考文献:</strong> [1] ISO/IEC 27001:2022 (JIS Q 27001:2023). 公開日: 2022年10月25日 (ISO), 2023年3月20日 (JIS). [2] 日本情報経済社会推進協会 (JIPDEC) ISMS適合性評価制度. 更新日: 2024年6月15日. <a href="https://www.jipdec.or.jp/isms/index.html">https://www.jipdec.or.jp/isms/index.html</a> [3] 情報処理推進機構 (IPA) 情報セキュリティ白書2024. 発行日: 2024年3月29日. <a href="https://www.ipa.go.jp/security/hakusho/2024.html">https://www.ipa.go.jp/security/hakusho/2024.html</a></p>

graph TD
    A["情報セキュリティリスクマネジメント"] --> B("リスクアセスメント");
    B --> B1("リスク特定");
    B1 --> B2("リスク分析");
    B2 --> B3("リスク評価");
    B3 --> C{"リスク受容基準と比較"};
    C -- 受容可能の場合 --> D["リスク受容"];
    C -- 受容不可能な場合 --> E("リスク対応策の選択");
    E --> E1["リスク変更
(対策適用)"];
    E --> E2["リスク回避"];
    E --> E3["リスク共有
(移転)"];
    E --> E4["リスク保有
(受容)"];
    E1 --> F["残存リスク評価"];
    E2 --> G["活動・プロセスの変更/中止"];
    E3 --> H["保険加入・アウトソーシング"];
    E4 --> I["正式なリスク保有判断"];
    F --> J("適用宣言書の作成");
    J --> K("ISMSの継続的改善");
    D --> K;