ファイコムは2019年にISMS（ISO/IEC 27001:2013 / JIS Q 27001:2014）認証を取得し、今年で4年目の運用を迎えます。毎年、手順やルールを見直し、単なる認証取得だけでなく、組織力の向上やビジネスへの実用性を追求しながらアップデートを行っています。
 
中でも最も重要なことの1つが、情報セキュリティリスクアセスメントの実施です。お客様から預かる機密情報、個人情報、ネットワーク機器などを資産として評価し、資産の価値（機密性、完全性、可用性）、脅威の発生頻度、脆弱性の程度を考慮し、リスク値の高い資産への対策を計画的に実施しています。社会の変化も考慮し、昨今であればリモート作業やクラウドサービス利用の増加など、業務にあわせてリスク分析対象の資産範囲も変わっていきます。
 
リスクアセスメントの主な流れとドキュメントは以下の通りです。
※会社全体での取得の場合
 
①プロセスフロー
弊社であれば主にWebサイト制作に関する案件が中心ですが、納品するまでの工程を詳細に記載し、どの工程でリスクが存在するかを特定します。企画、制作業務だけではなく、社内の経理など幅広いプロセスに適用されているので一から作るとなると結構大変な作業になります。
 
②資産管理表
プロセスフローで洗い出された資産をリスト化し、それぞれに資産価値（機密性、完全性、可用性）を想像してリスク分析します。ちなみに弊社では約170種の資産があり、保管方法や管理者など細かく分類しています。
 
③リスク管理シート
リスク値が高いと評価された資産を選び、詳細なリスク分析を行います。考えられるリスク脅威（情報漏洩、メールの誤送信、情報の改ざん、ネットワークの障害など）に対して、ファイコムが現在どういう対策をしているか確認します。今後さらにリスクを低減する必要があるかを判断して最終的を評価していきます。
 
④リスク対応計画書
リスク管理シートで詳細なリスク分析が行われた資産に対して、リスク低減策が必要な場合、スケジュールを設定し実行計画を立てて進めていきます。
 
今回ご紹介した情報セキュリティリスクアセスメントはISMSの運用における一部です。
常に変化する環境に適応するために情報セキュリティを維持し、高める努力を続けています。今後も組織力の向上とビジネスの発展を追求し、お客様にとって安全かつ信頼性の高いサービスを提供していきます。
もし取り組みに関して興味がござましたら、ぜひお気軽にお問い合わせください★
 
記事作成：村上