14. 情報セキュリティリスクアセスメント

1. 目的

本書は、「12. 情報資産の定義と管理ルール」に基づき、当社が保有・管理する主要な情報資産に関する情報セキュリティリスクを識別・評価し、適切なリスク対応方針を定めることを目的とする。

本リスクアセスメントは、組織規模および実運用を踏まえて実施し、過度な形式主義に陥らず、実効性を重視する。

1.5 実施手順

1.5.1 実施の契機・頻度

本リスクアセスメントは、以下の契機で実施する。

契機	頻度	備考
定期実施	年1回（8月のマネジメントレビュー前）	内部監査と同時期に実施
臨時実施	随時	下記の事象発生時

臨時実施の契機：

新たな重要情報資産の追加
大規模なシステム構成変更（クラウドサービスの追加・変更、ネットワーク構成の変更等）
情報セキュリティインシデントの発生
法令・規制要件の重大な変更
事業環境の大幅な変化

1.5.2 役割と責任

役割	担当者	責任
実施責任者	情報セキュリティ責任者（代表取締役）	アセスメント全体の統括、最終承認
実施担当者	情報セキュリティ委員会	アセスメントの実施、報告書作成
資産オーナー	各情報資産の管理責任者	資産情報の提供、脅威・脆弱性の確認

1.5.3 入力情報

リスクアセスメントの実施にあたり、以下の情報を収集・参照する。

情報資産台帳（「12. 情報資産の定義と管理ルール」に基づく）
ネットワーク構成図
システム構成情報（クラウドサービス一覧、SaaS利用状況）
委託先一覧
過去のインシデント記録
前回のリスクアセスメント結果
外部脅威情報（IPAセキュリティ情報、クラウドベンダーのセキュリティ情報等）

1.5.4 実施ステップ

リスクアセスメントは以下のステップで実施する。

ステップ1：対象資産の選定

情報資産台帳から、機密性レベル1以上の資産を抽出
事業影響の観点から重要度が高い資産を選定
新規追加・変更のあった資産を確認

ステップ2：脅威・脆弱性の洗い出し

各資産に対する想定脅威を識別（不正アクセス、情報漏えい、改ざん、可用性喪失等）
脅威を実現しうる脆弱性を識別（技術的脆弱性、人的脆弱性、物理的脆弱性）
過去のインシデント、外部脅威情報を参考に更新

ステップ3：影響度・発生可能性の評価

「3. リスク評価基準」に基づき、各リスクの影響度（1〜3）を評価
同基準に基づき、発生可能性（1〜3）を評価
評価根拠を記録

ステップ4：リスク値算出と判定

リスク値＝影響度 × 発生可能性を算出
リスクレベル判定基準に基づき、高（6〜9）/中（3〜4）/低（1〜2）を判定

ステップ5：リスク対応方針の決定

各リスクに対し、以下のいずれかの対応方針を決定
- 低減：管理策を適用してリスクを許容可能なレベルまで低減
- 受容：リスクが許容範囲内であり、追加対策を行わない
- 回避：リスク源となる活動を中止または変更
- 移転：保険加入や外部委託によりリスクを移転
「高」判定のリスクは原則として低減または回避を選択

ステップ6：結果の承認とリスク対応計画

実施担当者がアセスメント結果を報告書として取りまとめ
情報セキュリティ責任者が結果を確認・承認
追加の管理策が必要な場合は、リスク対応計画を起票し、実施期限・担当者を明確化

1.5.5 変更管理

評価方法（基準、スコアリング方法等）を変更する場合は、以下を遵守する。

変更理由を文書化し、情報セキュリティ責任者の承認を得る
変更前後の評価結果の比較可能性を確保するため、変更内容と影響を記録
変更履歴を本文書の改訂履歴として管理

1.5.6 成果物

本リスクアセスメントの成果物は以下のとおり。

成果物	内容	保管場所
リスクアセスメント報告書	本文書（「4. リスクアセスメント結果」以降）	ISMS文書管理システム
リスク対応計画	追加管理策が必要な場合に作成	YouTrack（チケット管理）

2. 対象範囲

以下の情報資産のうち、機密性および事業影響の観点から重要度が高いものを対象とする。

IA-001：顧客基本情報（Cloud SQL / Amazon RDS）
IA-001-2：顧客管理資料（Google Workspace 共有ドライブ）
IA-002：従業員情報
IA-004：ソースコード（GitHub）
IA-007：営業情報（Zoho CRM）
IA-008：契約書原本（Money Forward / 紙原本）
IA-009：カスタマーサポート情報（Zendesk）
IA-010：分析データ（BigQuery）

3. リスク評価基準

3.1 影響度（Impact）

レベル	定義
3	法令違反、個人情報漏えい、取引先・顧客への重大な影響が発生する
2	事業運営に支障が生じる、信用低下が発生する
1	社内業務への限定的な影響にとどまる

3.2 発生可能性（Likelihood）

レベル	定義
3	過去事例や構成上、発生の可能性が高い
2	一定の条件下で発生する可能性がある
1	発生可能性は低い

3.3 リスクレベル

リスクレベル＝影響度 × 発生可能性

リスク値	判定
6〜9	高（要対応）
3〜4	中（管理策により低減）
1〜2	低（受容）

4. リスクアセスメント結果

資産ID	情報資産	想定脅威	脆弱性	影響度	発生可能性	リスク値	判定	主な管理策	対応方針
IA-001	顧客基本情報（Cloud SQL / Amazon RDS）	不正アクセス、設定不備による情報漏えい	権限設定ミス、認証情報の不適切管理	3	2	6	高	DBはインターネット非公開、アプリ経由アクセス、権限管理、監査ログ	低減
IA-001-2	顧客管理資料（Google Workspace 共有ドライブ）	誤共有、内部不正、操作ミス	人為的ミス、共有設定の誤り	3	2	6	高	共有ドライブ権限管理、管理者限定、定期的な権限確認	低減
IA-002	従業員情報	内部不正、情報漏えい	人的要因、誤操作	3	1	3	中	アクセス権限定、バックオフィス管理、退職時アカウント無効化	低減
IA-004	ソースコード（GitHub）	不正アクセス、情報漏えい	権限過多、認証情報漏えい	3	2	6	高	組織管理、リポジトリ権限管理、SSO、監査ログ	低減
IA-007	営業情報（Zoho CRM）	不正閲覧、情報漏えい	権限設定ミス	2	2	4	中	営業部のみアクセス可能、ロール・権限管理、退職者アカウント無効化	低減
IA-008	契約書原本（Money Forward / 紙）	情報漏えい、紛失	人為的ミス、物理的管理不備	3	1	3	中	電子契約の権限管理、金庫管理	低減
IA-009	カスタマーサポート情報（Zendesk）	不正アクセス、顧客情報漏えい	権限設定ミス、認証情報の不適切管理	3	2	6	高	サポート部のみアクセス可能、ロール・権限管理、SSO連携、監査ログ、退職者アカウント無効化	低減
IA-010	分析データ（BigQuery）	不正アクセス、データ漏えい、クエリ結果の不正取得	IAM権限設定ミス、データセットアクセス制御不備	3	2	6	高	IAMによる権限管理、データセット権限設定、監査ログ、VPC Service Controls	低減

5. リスク対応の総括

本アセスメントにおいて「高」と判定されたリスクについては、いずれも既存の技術的・組織的管理策により低減可能であり、現行の運用を継続する。

追加の重大なリスク対応措置は不要と判断するが、以下については継続的に確認を行う。

クラウドサービスの権限設定
退職者・役割変更時のアカウント管理
共有ドライブおよびSaaSの利用状況

6. 見直し

本リスクアセスメントは、年1回、または以下の事象が発生した場合に見直す。

新たな重要情報資産の追加
大規模なシステム構成変更
情報セキュリティインシデントの発生

承認

役職	氏名	承認日	署名
情報セキュリティ責任者	代表取締役	2024.04.01