🛡️ 初心者向け！ISO/IEC 27005 情報セキュリティリスクマネジメント入門

ISO/IEC 27005 は、情報セキュリティに関するリスクをどのように管理（マネジメント）すれば良いかを示した国際規格です。ISO (国際標準化機構) と IEC (国際電気標準会議) が共同で策定しました。

簡単に言うと、「情報資産（大切なデータやシステムなど）を様々な脅威から守るために、リスクを特定し、評価し、対策を立てて、継続的に見直していくためのお手本」となるガイドラインです。特定の業界や組織の規模に関わらず、あらゆる組織で活用できます。

最新版は ISO/IEC 27005:2022 で、2022年10月に発行されました。これは、情報セキュリティマネジメントシステム (ISMS) の国際規格である ISO/IEC 27001 の 2022年版改訂に合わせて更新されたものです。

1. 1. 状況の設定 (Context Establishment):
   まず、リスクマネジメントを行う範囲や目的、評価の基準（どのようなリスクを許容するかなど）を明確にします。組織の目標や内外の状況を考慮することが重要です。
2. 2. リスクアセスメント (Risk Assessment):
   このステップはさらに3つの段階に分かれます。
   • リスク特定 (Risk Identification): どのような情報資産があり、それらにどんな脅威（サイバー攻撃、内部不正、災害など）や脆弱性（弱点）が存在するかを洗い出します。2022年版では、「イベントベース（起こりうる出来事から特定）」と「資産ベース（守るべき資産から特定）」の2つのアプローチが示されています。
   • リスク分析 (Risk Analysis): 特定されたリスクが実際に発生した場合の影響度（被害の大きさ）と、発生可能性（起こりやすさ）を分析します。
   • リスク評価 (Risk Evaluation): 分析結果を、最初に設定したリスク基準と照らし合わせ、対策が必要なリスクの優先順位を決定します。
3. 3. リスク対応 (Risk Treatment):
   評価結果に基づき、優先度の高いリスクに対してどのような対策を講じるかを決定し、計画を立てます。主な対応策には以下の4つがあります。
   • リスク低減: セキュリティ対策（アクセス制御、暗号化、監視強化など）を実施して、リスクの発生可能性や影響度を減らす。
   • リスク回避: リスクの原因となる活動やシステム利用をやめるなどして、リスクそのものをなくす。
   • リスク移転: 保険への加入や、外部サービス（決済代行など）の利用により、リスクの一部または全部を他者と分担する。
   • リスク保有 (受容): リスクが許容範囲内である場合や、対策コストが被害額を上回る場合などに、リスクを受け入れる。

これらに加えて、プロセス全体を通じて以下の活動が重要になります。

• リスクコミュニケーションと協議 (Risk Communication and Consultation): 関係者（経営層、従業員、外部委託先など）とリスクに関する情報を共有し、意思決定プロセスに関与させる。
• リスクモニタリングとレビュー (Risk Monitoring and Review): リスク状況の変化や対策の効果を継続的に監視し、定期的にプロセス全体を見直す。新たな脅威や脆弱性に対応するため、リスクマネジメントは一度行ったら終わりではなく、継続的な改善が必要です。

※ 2022年版では、「リスク受容 (Risk Acceptance)」は独立したステップではなくなりましたが、リスク対応やレビュープロセスの中で重要な要素として扱われます。

ISO/IEC 27001 は、組織が情報セキュリティマネジメントシステム (ISMS) を確立し、実施し、維持し、継続的に改善するための要求事項を定めた規格です。一方、ISO/IEC 27005 は、その ISO/IEC 27001 の中で要求されている「情報セキュリティリスクアセスメント」および「リスク対応」のプロセスを、どのように実施すればよいかの具体的なガイダンスを提供する規格です。

つまり、ISO/IEC 27001 が「何をすべきか（要求事項）」を示しているのに対し、ISO/IEC 27005 は「どのように行うか（実践ガイド）」を提供している、補完的な関係にあります。ISO/IEC 27001 認証を目指す組織にとって、ISO/IEC 27005 は非常に役立つ手引きとなります。