8.2 情報セキュリティリスクアセスメント

項目	内容
改訂日	2024.04.01
適用範囲	全社
箇条番号	8.2
分類	運用

要求事項

組織は、あらかじめ定めた間隔で、又は重大な変更が提案されたか若しくは重大な変化が生じた場合に、6.1.2 a)で確立した基準を考慮して、情報セキュリティリスクアセスメントを実施しなければならない。

組織は、情報セキュリティリスクアセスメント結果の文書化した情報を保持しなければならない。

目的

6.1.2で定めた情報セキュリティリスクアセスメントのプロセスを、定期的に及び必要に応じて実施し、リスクの変化を把握して適切な対応を行うため。

当社における実施状況

リスクアセスメントの実施

当社では、14. 情報セキュリティリスクアセスメントに基づき、情報セキュリティリスクアセスメントを実施している。

実施の契機・頻度

契機	頻度	備考
定期実施	年1回（8月のマネジメントレビュー前）	内部監査と同時期に実施
臨時実施	随時	下記の事象発生時

臨時実施の契機：

• 新たな重要情報資産の追加
• 大規模なシステム構成変更（クラウドサービスの追加・変更、ネットワーク構成の変更等）
• 情報セキュリティインシデントの発生
• 法令・規制要件の重大な変更
• 事業環境の大幅な変化

リスク基準

6.1.2 a)で確立したリスク基準に基づき、リスクアセスメントを実施する。

影響度（Impact）

レベル	定義
3	法令違反、個人情報漏えい、取引先・顧客への重大な影響が発生する
2	事業運営に支障が生じる、信用低下が発生する
1	社内業務への限定的な影響にとどまる

発生可能性（Likelihood）

レベル	定義
3	過去事例や構成上、発生の可能性が高い
2	一定の条件下で発生する可能性がある
1	発生可能性は低い

リスクレベル判定

リスクレベル ＝ 影響度 × 発生可能性

リスク値	判定	対応方針
6〜9	高（要対応）	原則として低減または回避
3〜4	中（管理策により低減）	管理策の適用を検討
1〜2	低（受容）	受容可能

実施手順

リスクアセスメントは、14. 情報セキュリティリスクアセスメントに定める以下のステップで実施する。

1. 対象資産の選定： 情報資産台帳から機密性レベル1以上の資産を抽出
2. 脅威・脆弱性の洗い出し： 各資産に対する想定脅威と脆弱性を識別
3. 影響度・発生可能性の評価： リスク基準に基づき評価
4. リスク値算出と判定： リスクレベルを判定
5. リスク対応方針の決定： 低減、受容、回避、移転のいずれかを決定
6. 結果の承認： 情報セキュリティ責任者が承認

役割と責任

役割	担当者	責任
実施責任者	情報セキュリティ責任者（代表取締役）	アセスメント全体の統括、最終承認
実施担当者	情報セキュリティ委員会	アセスメントの実施、報告書作成
資産オーナー	各情報資産の管理責任者	資産情報の提供、脅威・脆弱性の確認

文書化した情報

リスクアセスメント結果は、以下の文書化した情報として保持する。

文書	内容	保管場所
リスクアセスメント報告書	対象資産、脅威・脆弱性、リスク評価結果、対応方針	ISMS文書管理システム
情報資産台帳	情報資産の一覧、機密性レベル、管理責任者	ISMS文書管理システム

最新のリスクアセスメント結果

最新のリスクアセスメント結果は、14. 情報セキュリティリスクアセスメントの「4. リスクアセスメント結果」に記載している。

現在、以下の情報資産について「高」と判定されたリスクがあり、既存の管理策により低減を図っている。

• IA-001：顧客基本情報（Cloud SQL / Amazon RDS）
• IA-001-2：顧客管理資料（Google Workspace 共有ドライブ）
• IA-004：ソースコード（GitHub）
• IA-009：カスタマーサポート情報（Zendesk）
• IA-010：分析データ（BigQuery）

関連文書

• 6.1 リスク及び機会に対処する活動
• 14. 情報セキュリティリスクアセスメント
• 12. 情報資産の定義と管理ルール