最終更新日:2025年7月15日
公開日:2025年7月15日
ISO文書テンプレを一式搭載!文書管理ツール『T-web』
ISO認証を初めてご取得されるお客様向け!
文書の作成や管理にかかる負担を削減し、お客様の実態に合った、運用しやすいマネジメントシステムを構築できる!
この記事は10分で読了することができます。
「ISMSのリスクアセスメントを任されたけれど、何から手をつければいいのか分からない…」 「リスク評価の方法が曖昧で、担当者によって結果がバラバラになってしまう…」 「認証審査に向けて、どこまで準備すれば良いのか不安…」
そんな悩みを抱えているISO担当者の方も多いのではないでしょうか?
【この記事で解決できる課題】
ISMSにおけるリスクアセスメントとは、企業が情報資産を安全に管理し、適正なセキュリティ体制を構築するうえで欠かせない重要なプロセスです。
ISO/IEC 27001(ISMS)規格では、マネジメントシステムの核心として位置付けられており、ISMS認証を取得したい企業にとって、リスクアセスメントの実施は必須事項です。
会社の情報・資産を脅威から守るためには、下記の情報セキュリティの3要素をバランスよく維持することが重要です。
許可された人だけが情報にアクセスできる
対策
・アクセス制御
・暗号化
情報が正確で、改ざんされていない
対策
・電子署名
・履歴を残す
必要なときに情報を見たり利用したりできる
対策
・システムの多重化
・バックアップ
リスクアセスメントは、これら3つの要素を脅かすリスクを「リスク特定」「リスク分析」「リスク評価」の3つのプロセスで明確にし、適切な対策を決定するための手法です。
ISO/IEC27001(ISMS)については下の記事で分かりやすく説明していますので、詳しくはそちらをご参照ください。
ISO/IEC27001(ISMS)とは何か知りたい方や取得を検討している方に向けて、ISO/IEC27001(ISMS)の仕組み、要求事項・管理策、認証取得のメリット・デメリットなどをわかりやすく解説!
まず、自社が持っている資産を洗い出し、重要度や影響範囲、保管先などの基準によってグループ分けを行います。
✔ 資産分類の例
ハードウェア(サーバー、PC、ネットワーク機器など)
ソフトウェア(業務システム、アプリケーションなど)
データ(顧客情報、契約書、設計図など)
人的資源(従業員、外部委託先など)
物理的環境(オフィス、データセンターなど)
洗い出した資産それぞれに対し、リスク源や事象、原因、起こり得ることや資産の管理責任者などを特定します。これは、情報の機密性・完全性・可用性の喪失に伴うリスクを特定するために行います。
✔ リスク特定の具体例:契約書データの場合
外部からの不正アクセス
データの改ざん・削除
サービス停止によるアクセス不能
外部委託先でのセキュリティ事故
特定したリスクを「発生した時、どのくらい重大か」「発生する可能性はどのくらいか」といった観点からリスクレベルを決定します。
✔ リスク分析の評価項目の例
重要度
その資産の価値/そのリスクが実際に発生した場合の組織への影響の大きさ
発生率
そのリスクが実際に発生する可能性の高さ
脆弱性
現在の対策で防げる程度
評価基準の例
| レベル | 重要度の基準 | 発生率の基準 | 脆弱性の基準 |
|---|---|---|---|
| 1 | 軽微:業務影響は1日以内で回復可能 例:公開情報 |
低:年1回未満の可能性 | 対策済み:十分なセキュリティ対策あり |
| 2 | 中程度:業務影響は1週間以内で回復可能 例:社外秘 |
中:月1回程度の発生可能性 | 一部対策:基本対策は実施済みだが不十分 |
| 3 | 重大:1週間超の影響、または法的責任が発生 例:極秘・部外秘 |
高:週1回以上の発生可能性 | 対策不足:対策が不十分または未実施 |
誰が行っても同じ基準になるよう、ルールを決める
評価を担当する人が異なっても、同じ判断結果になることが理想です。
基準が曖昧だと、担当者による評価のバラツキを招き、正しいリスク管理が難しくなります。
このように明確な基準を設けることで、「なんとなく」や主観的な解釈を排除し、客観的な評価を実現できます。
分析結果を基準に、具体的な対応や管理策が本当に必要かどうかを判断・決定します。
すべてのリスクに対応することはできません。リスク基準(リスク受容レベル)を超えたものはリスク対応する、といった対応になるかと思います。そのため、どこまでのリスクに対応するのか、基準を定めておきましょう。
✔ リスク基準の設定例
リスクレベル値1~5
リスクレベル値6~17
危険
緊急対策が必要
リスクレベル値18~27
「リスク基準=リスク受容レベルは18未満」の場合
⇒ リスクレベル値27を最優先課題としてリスクレベル18以上の資産に対して対策を講ずる
事務用PCの場合
リスク値 = 2(重要度)× 2(発生率)× 1(脆弱性)= 4
⇒ リスクレベル値18未満のため、許容範囲(現状維持)
| 発生率\脆弱性 | 1(低) | 2(中) | 3(高) |
|---|---|---|---|
| 1(低) | 1(許容) | 2(許容) | 3(許容) |
| 2(中) | 2(許容) | 4(許容) | 6(要注意) |
| 3(高) | 3(許容) | 6(要注意) | 9(要注意) |
| 発生率\脆弱性 | 1(低) | 2(中) | 3(高) |
|---|---|---|---|
| 1(低) | 2(許容) | 4(許容) | 6(要注意) |
| 2(中) | 4(許容) | 8(要注意) | 12(要注意) |
| 3(高) | 6(要注意) | 12(要注意) | 18(危険) |
| 発生率\脆弱性 | 1(低) | 2(中) | 3(高) |
|---|---|---|---|
| 1(低) | 3(許容) | 6(要注意) | 9(要注意) |
| 2(中) | 6(要注意) | 12(要注意) | 18(危険) |
| 3(高) | 9(要注意) | 18(危険) | 27(危険) |
リスク評価の結果をもとに、リスクごとに「受容・回避・移転・低減」のいずれかの対応方法を選び、必要な管理策を決定します。
✔ 管理策の例
アクセス管理の強化
システム監視ログの記録強化
定期的なバックアップの実施
従業員教育の実施
最後に、アセスメント全体の記録や資料を整備し、改善点や外部監査対応の準備を進めます。
東京スタンダードのT-webサービスなら、リスクアセスメントに必要な文書テンプレートを含め、ISO運用に必要な文書が200種類搭載!専任のITトレーナーがギャップ診断から構築まで丁寧にサポートします。月額9,700円(税抜)~ご利用いただけます。
小規模企業(従業員50名未満)の場合
中規模・大規模企業(従業員50名以上)の場合
業界別の優先的に対策を行うべき資産
| 業界 | 主な情報資産 | よくあるリスク | 対応のポイント |
|---|---|---|---|
| IT・情報サービス | 顧客データ、ログ、開発コード | 外部からの攻撃、委託先の情報漏えい | アクセス制御、委託管理、脆弱性対策 |
| 製造業 | 設計図、技術資料、生産管理システム | 技術情報の漏えい、設備の停止 | 制御系ネットワークの保護、USB制限など |
| 医療機関 | 電子カルテ、患者データ、診療記録 | 個人情報漏えい、システム停止による診療影響 | 可用性確保、内部不正対策 |
| 金融・保険業 | 顧客情報、取引履歴、契約書類 | 情報漏えい、不正アクセス、改ざん | 多層防御、ログ監視、権限管理 |
どの規模・業界でも、重要度・発生率・脆弱性の基準を統一し、分析・評価することで、ばらつきのない運用が実現します。
ISMSのリスクアセスメント運用では、定期的な内部監査が欠かせません。
内部監査のチェック項目
内部監査の進め方から、効果的に運用するポイント、内部監査員に必要な力量を解説。さらに、ISO内部監査のチェックリストを無料提供中!
外部審査対応では、第三者機関による手順や記録の詳細審査を受けるため、以下の準備が必要です。
外部審査で確認される書類・記録
東京スタンダードのT-webサービスなら、リスクアセスメントに必要な文書テンプレートを含め、ISO運用に必要な文書が200種類搭載!専任のITトレーナーがギャップ診断から構築まで丁寧にサポートします。月額9,700円(税抜)~ご利用いただけます。
審査員の視点から見た重要ポイント
豊富な実務経験を持つ審査員からは、「机上の理論ではなく、実際の業務に即した実践的なリスクアセスメントができているか」が重視されます。形式的な文書作成ではなく、組織の実態に合った運用ができていることを示すことが重要です。
これらのプロセスをマネジメントシステムとして定着させるには、担当者だけでなく関連部門や経営層の協力も不可欠です。
また、一般的には、実施にかかる期間の目安は以下の通りです
・ 小規模企業(従業員30名未満):1ヶ月程度
・ 中規模企業(従業員30名~):1~3ヶ月程度
※ 資産の内容や数、企業規模などによって異なります
1.詳細な評価基準書の作成
2.評価者向けの研修・トレーニングの実施
3.評価結果のレビュー・承認プロセスの確立
4.定期的な評価基準の見直し
・ サービス提供者のセキュリティ対策状況
・ データの保存場所・移転に関する法的要件
・ サービス停止時の業務継続計画
・ 契約終了時のデータ削除・返却手順
ISOやマネジメントに関する情報を毎週配信!ISOご担当者様・ご興味がある企業様は、情報収集の一環としてぜひご覧ください!
ISMSリスクアセスメントは、情報セキュリティ体制の根幹となる重要なプロセスです。適切に実施することで、組織の情報資産を体系的に保護し、ステークホルダーからの信頼を大幅に向上させることができます。
この記事のポイントおさらい
✔ ISMSリスクアセスメントとは
情報の機密性・完全性・可用性(CIA)を脅かすリスクを洗い出し、優先順位をつけて対策を決めるプロセス
✔ ISMSリスクアセスメントの5つの手順
1. 情報資産の洗い出し:重要度や影響範囲、保管先などの基準によってグループ分け
2. リスク特定:各資産に対する脅威のリスク源や事象、原因などの明確化
3. リスク分析:重要度・発生率・脆弱性による数値化
4. リスク評価:対応優先度の決定とリスク受容基準の適用
5. リスク対応:具体的対策の実施と記録整備
今すぐ始められる3つのアクション
STEP1:情報資産の洗い出し(今週中)
・自社の重要情報資産をリストアップする
・本記事の分類例を参考に、まずは20-30個の資産を洗い出す
STEP2:評価基準の仮設定(来週まで)
・重要度・発生率・脆弱性の3段階評価基準を決める
STEP3:専門家との相談(1ヶ月以内)
・認証取得スケジュールに合わせた実施計画を策定する
・不明点は専門機関に相談し、効率的に進める
ISO認証取得の準備で悩んでいませんか?
東京スタンダードは、17,000円/月~ (税込 18,700円)のISMS認証審査や
仕組みづくりをサポートするツールキットのご提供で、ISO認証審査に関するお悩みの解決に貢献します。
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
