Contents 0. 導入 : リスクとは? 1. リスクマネジメントの国際標準 - ISO (JIS Q 31000), ISO Guide 73 (JIS Q 0073) 他 2. 情報セキュリティマネジメント (ISM) の国際標準とリスクマネジメント - ISO/IEC 270

２０１１年度第２回ＩＴリスク学研究会

相羽 律子

2011/07/09 株式会社 日立製作所 情報・通信システム社 経営戦略室 事業開発部

リスクマネジメントに関連する

国際標準化動向

Contents

０．導入： リスクとは？

２．情報セキュリティマネジメント（ISM）の国際標準と リスクマネジメント

－ ISO/IEC 27001（JIS Q 27001）, ISO/IEC 27005 他

３．社会セキュリティマネジメント（SSM）の国際標準と リスクマネジメント

－ ISO DIS 22301 , ISO FDIS 22313 他

１．リスクマネジメントの国際標準

－ ISO 31000 （JIS Q 31000）, ISO Guide 73 （JIS Q 0073）他

参考：標準化組織と規格の種類及び策定手順 参考文献

0

導入：リスクとは？（１）

0．

例１ 情報漏洩が発生 → 訴訟を起こされた結果，多額の補償金を支払った。 → 信頼失墜により業績が悪化した。 例２ 地震や水害が発生 → 社屋が倒壊した。 → 被災後，一定期間業務が継続できなった。

これらは顕在化により損失のみを発生するリスクの例

例３ 新規ビジネスの開始 → 新規ビジネスの開発に大きなコストがかかった。 → もし，ビジネスが成功すれば，コストを回収し さらに利益を得られる。 もし，ビジネスが失敗すれば，大きな損害がでる。

これは利益または損害のいずれかを発生するリスクの例

導入：リスクとは？（２）

0．

純粋リスク

顕在化により損失のみを発生

するリスク

例：災害，事故，従業員による

丌正行為，コンピュータ

ウィルスによる被害

→ 保険が想定するリスク

→ 情報セキュリティにおいても，

主に純粋リスクが想定される

投機的リスク

顕在化により利益または損失を

発生するリスク

例：投資のリスク，為替リスク，

景気変動のリスク

→金融分野で扱われてきた

→リスクと呼ばずに機会と呼び，

リスク（純粋リスク）と区別する

場合もある

ポジティブリスク，ネガティブリスクという呼び方もある。

しかし明確な定義は無い。

→ ポジティブリスク ＝ 投機的リスク（機会）？

導入：リスクとは？（３）

0．

定義 目的に対して丌確さが不える影響

effect of uncertainty on objectives.

注記１ 影響とは、期待されていることからのよい方向および／または悪い方向 への偏差。 注記２ 諸目標は、例えば財務・安全衛生・環境に関する到達目標など、さまざま な側面を持ち得るものであり、戦略・組織全体・プロジェクト・製品・プロセ スなどさまざまなレベルに適用できる。 注記３ リスクは、起こり得る諸事象、結果、もしくはこれらの組み合わせ、ならび にこれらが諸目標の達成にどのように影響し得るかということと関連付け て特徴付けられることが多い。 注記４ リスクは、ある事象の結果または周辺環境の変化の結果と起こりやすさ との組み合わせという観点から表わされることが多い。 注記５ 不確実性とは， イベント，その結果及び見込み関連する情報の知識や理 解が欠落（部分的なものも含む）している状態。 この定義には，純粋リスクも投機的リスクも含まれる。

導入：リスクとは？（４）

0．

定義 事象の発生確率と事象の結果の組み合わせ

combination of the probability of an event and its consequence.

備考１ 用語“リスク”は、一般に少なくとも好ましくない結果を得る可能性がある 場合にだけ使われる。 備考２ ある場合には、リスクは期待した成果、又は事象からの偏差の可能性か ら生じる。 備考３ 安全に関する事項については、ISO/IEC Guide51:1999を参照のこと。 特に純粋リスクだけには限定されない。 しかし，備考１と３は，ネガティブな結果の可能性をもつリスクを主として 考えることを示している。

JIS TR Q 0008:2003（ISO/IEC Guide 73:2002） によるリスクの定義（旧バージョン）

2009年版になり，（注記も含め）ネガティブ，ポジティブ両面のリスクを 区別無く定義する内容となった。

導入：リスクとは？（５）

0．

定義 脅威が資産または資産グループの脆弱性を利用し，

その結果，組織に害を及ぼす可能性

potential that a threat will exploit a vulnerability of an asset or group of assets and thereby cause harm to the organization

純粋リスクだけに限定。また，資産，脅威，脆弱性などの要素を用いて リスクを定義。 ISO/IEC 27000:2009 による情報セキュリティリスクの定義（仮訳） 資産，脅威，および脆弱性の定義

資

産 組織にとって価値のあるもの

脅

威 情報システム又は組織に損害をもたらす望まれないインシ

デントの潜在的原因

脆弱性 脅威に活用される資産又は管理策の弱点

（JIS Q 27001:2006）

導入：リスクとは？（６）

0．

定義 目的に対して丌確さが不える影響

effect of uncertainty on objectives.

注記１ 影響とは、期待されていることからのよい方向および／または悪い方向への偏差。 注記２ 諸目標は、例えば財務・安全衛生・環境に関する到達目標など、さまざまな側面を持 ち得るものであり、戦略・組織全体・プロジェクト・製品・プロセスなどさまざまなレベル に適用できる。 注記３ リスクは、起こり得る諸事象、結果、もしくはこれらの組み合わせ、ならびにこれらが 諸目標の達成にどのように影響し得るかということと関連付けて特徴付けられること が多い。 注記４ リスクは、ある事象の結果または周辺環境の変化の結果と起こりやすさとの組み合 わせという観点から表わされることが多い。 注記５ 不確実性とは， イベント，その結果及び見込み関連する情報の知識や理解が欠落 （部分的なものも含む）している状態。 注記６ 情報セキュリティリスクは，脅威が資産または資産グループの脆弱性を利用し，その 結果，組織に害を及ぼす可能性のこと。

Information security risk is associated with the potential that threats will exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.

1

リスクマネジメントの国際標準

リスクマネジメントの国際標準（１）

１．

ISO 31000

 ISO 31000:2009 Risk management - Principles and guidelines

 2005年6月 ISO/TMB*1_{/WG on Risk Management（議長：豪州，事務局：日}

本）が設置され，ISO 25700として開発作業を開始。  2007年4月に25700→31000に改番された。  2009年11月初版発行。  2010年9月JIS化。 JIS Q 31000:2010 リスクマネジメント－原則及び指針  全ての組織、全てのリスクに適用出来るトップレベルの文書として，全ての リスクを管理するための汎用的プロセス，そのプロセスを効果的に運用す るための枠組み，及びリスクマネジメントの原則を示している。  認証規格ではない。  用語はISO Guide73:2009（JIS Q 0073:2010）を参照。

*1 ISO/TMB：技術管理評議会（Technical Management Board ）のことで，TCの設置，新技術 分野の業務の必要性判断と計画作成などの専門業務のマネジメント全般に責任を持つ。

リスクマネジメントの国際標準（２）

１．

序文 1. 適用範囲 2. 用語及び定義 3. 原則 4. 枠組み 4.1 一般 4.2 指令及びコミットメント 4.3 リスクの運用管理のための枠組みの設計 4.4 リスクマネジメントの実践 4.5 枠組みのモニタリング及びレビュー 4.6 枠組みの継続的改善 5. プロセス 5.1 一般 5.2 コミュニケーション及び協議 5.3 組織の状況の確定 5.4 リスクアセスメント 5.5 リスク対応 5.6 モニタリング及びレビュー 5.7 リスクマネジメントプロセスの記録作成 出展：JIS Q 31000:2010 図１ JIS Q 31000:2010の目次

リスクマネジメントの国際標準（３）

１．

a) 価値を創造する b) 組織のすべてのプロセスに おいて丌可欠な部分 c) 意思決定の一部 d) 丌確かさに明確に対処する e) 体系的かつ組織的で，且つ 時宜を得ている f) 利用可能な最善の情報に 基づく g) 組織に合わせて作られている h) 人的及び文化的要素を考慮 にいれる i) 透明性があり，かつ包含的 である j) 動的で，繰り返し行なわれ， 変化に対応する k) 組織の継続的改善及び強化 を促進する 原則 リスクの運用管理の ための枠組みの設計 リスクマネジメント の実施 枠組みのモニタリング 及びレビュー 枠組みの 継続的改善 指令および コミットメント 枠組み リスクアセスメント 組織の情況の確定 リスク特定 リスク分析 リスク評価 リスク対応 コ ミ ュ ニ ケ ー シ ョ ン 及 び 協 議 モ ニ タ リ ン グ 及 び レ ビ ュ ー プロセス 図２ リスクマネジメントの原則，枠組み及びプロセスの関係 出展：JIS Q 31000:2010

リスクマネジメントの国際標準（４）

１．

TR Q 0008:2003 （ISO/IEC Guide 73:2002） によるリスク対応オプション： A) リスクの最適化 B) リスクの保有 C) リスクの回避 D) リスクの移転 JIS Q 31000:2010 （ISO 31000:2009） によるリスク対応オプション： a) リスクを生じさせる活動を開始又は継続 しないことと決定することによって、リス クを回避する b) ある機会を追求するために、その リスクを取るまたは増加させる c) リスク源を除去する d) 起こりやすさを変える e) 結果を変える f) 一つまたはそれ以上の他者とそのリス クを共有する（契約及びリスクファイナン シングを含む） g) 情報に基づいた意思決定によって、その リスクを保有する ポイント： • リスクの最適化が細分化 • 移転がなくなり，共有に 図３ 改訂に伴うリスク対応オプションの変更内容

リスクマネジメントの国際標準（５）

１．

ISO Guide 73

 ISO Guide73:2009 Risk management - Vocabulary

 2002年初版発行（ ISO/IEC Guide 73 Risk management Vocabulary -Guidelines for use in standards ）

 2009年11月に改訂版発行。

 改訂は，ISO 31000と合わせてISO/TMB/WG on Risk Management（リスク マネジメントWG)が実施。  2010年9月JIS化。 JIS Q 0073:2010 リスクマネジメント－用語  リスクの定義が「事象の発生確率と事象の結果の組み合わせ」から「目標 に対して丌確さが不える影響」 に変更された。  リスクマネジメントの一般領域を網羅する形で50の用語が，相関関係に基 づき分類整理され，定義されている。

リスクマネジメントの国際標準（６）

１．

1. リスクに関する用語 3.4 リスクアセスメントに関する用語 3.7.1.1 リスクに対する頻度 3.7.1.2 リスク選好 3.7.1.3 リスク許容度 3.7.1.4 リスク忌避 3.7.1.5 リスク集約 3.7.1.6 リスク受容 1.1 リスク 3.4.1 リスクアセスメント 2. リスクマネジメントに関する用語 3.5 リスク特定に関する用語 2.1 リスクマネジメント 2.1.1 リスクマネジメントの枠組み 2.1.2 リスクマネジメント方針 2.1.3 リスクマネジメント計画 3.5.1 リスク特定 3.5.1.1 リスク記述 3.5.1.2 リスク源 3.5.1.3 事象 3.5.1.4 ハザード 3.5.1.5 リスク所有者 3.8 リスク対応に関する用語 3.8.1 リスク対応 3.8.1.1 管理策 3.8.1.2 リスク回避 3.8.1.3 リスク共有 3.8.1.4 リスクファイナンシング 3.8.1.5 リスク保有 3.8.1.6 残留リスク 3.8.1.7 適応力 3. リスクマネジメントプロセスに関 する用語 3.1 リスクマネジメントプロセス 3.6 リスク分析に関する用語 3.2 リスクコミュニケーション及び 協議に関する用語 3.6.1 リスク分析 3.6.1.1 起こりやすさ 3.6.1.2 ばく（曝）露 3.6.1.3 結果 3.6.1.4 発生確率 3.6.1.5 頻度 3.6.1.6 ぜい（脆）弱性 3.6.1.7 リスクマトリックス 3.6.1.8 リスクレベル 3.2.1 コミュニケーション及び協議 3.2.1.1 ステークホルダ 3.2.1.2 リスク認知 3.8.2 モニタリング及び測定に関_する用語 3.3 組織の状況に関する用語 3.8.2.1 モニタリング 3.8.2.2 レビュー 3.8.2.3 リスク報告 3.8.2.4 リスク登録簿 3.8.2.5 リスク特徴 3.8.2.6 リスクマネジメント監査 3.3.1 組織の状況の確定 3.3.1.1 外部状況 3.3.1.2 内部状況 3.3.1.3 リスク基準 3.7 リスク評価に関する用語 3.7.1 リスク評価 図４ JIS Q 0073:2010の用語一覧（目次順）

リスクマネジメントの国際標準（７）

１．

IEC/ISO 31010

 IEC/ISO 31010:2009 Risk management - Risk assessment techniques

 2009年12月発行。  IEC/TC56（ディペンダビリティ）が開発  リスクアセスメントの手法について纏めたガイドライン規格  認証規格ではない。  ISO 31000のサポートする位置づけの文書。ISO 31000を適用する場合に， 参照すべき規格とされている。  単なる手法の列挙ではなく，リスクアセスメント技法のタイプ分け，リスク アセスメントを実行する場合の技法の選択などについても述べている。

ISO 31004（策定中）

 規格化検討が決定し，開発のためのプロジェクトコミッティISO/PC262 （Risk management）が2011年に設置された。

 ISO 31000実践のため指針として，Risk management - Guidance for the implementation of ISO 31000を規格化予定。詳細未定。

リスクマネジメントの国際標準（８）

１．

国内規格との関係

JIS Q 2001（廃止）

 JIS Q 2001:2001 リスクマネジメントシステム構築のための指針  1995年の阪神・淡路大震災を契機に危機管理システム開発の検討が開 始，その後，危機管理からリスクマネジメントへと適用範囲の概念が拡大さ れ本規格となった。  2001年初版発行。  2006年定期見直しでそのまま継続と決定されたが，ISO 31000の発行及び ISO/IEC Guide 73の改訂に伴い廃止。

TR Q 0008（廃止）

TR Q 0008:2003 リスクマネジメント－用語－規格において使用するための 指針 2003年に発行された初版ISO/IEC Guide73のJIS化規格 2006年2月1日を以って有効期限切れにより廃止。

リスクマネジメントの国際標準（９）

１．

関連するその他の取組み（参考）

マネジメントシステム規格の整合性確保へ

の取組み

 ISOのマネジメントシステム規格の整合性を確保するために関連するTC等 で構成されるISO/TMB/TAG13-JTCG（合同技術調整グループ）を設置， 2006年から活動を開始。

新MSS（Management System Standards）の開発として，マネジメントシステ ムに共通して適用する構造，テキスト及び用語を開発中。

検討中の内容は，現在新規開発中または改訂中のいくつかのマネジメント 規格において並行して適用を検討中。（ISO/IEC WD 27001，ISO DIS 22301 などで適用を検討中）

２

情報セキュリティマネジメント（ISM）の

国際標準とリスクマネジメント

ISMの国際標準とリスクマネジメント（１）

２．

ISO/IEC 27001

 ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements

 2005年10月15日に初版発行。  2006年5月JIS化。 JIS Q 27001:2006 情報技術－セキュリティ技術－ 情報セキュリティ マネジメントシステム－要求事項  現在，ISO/IEC/JTC1 SC27/WG1にて，改定作業中（CD）。  マネジメントシステムのひとつとして，ISO/TMB/TAG13-JTCGの新MSS 共通フォーマットへの適合を検討中。  ISO/IEC 27001認証制度における認証基準であり，リスクマネジメントに 関する要求事項が示されている。  用語はISO Guide73:2009（JIS Q 0073:2010）を参照。  初版は， BS7799 Part2:2002*3_{をベースに作成された。}

*3 BS7799 Part2:2002 -Information security management systems－Specification with guidance for use：情報セキュリティマネジメントシステム－仕様及び利用の手引。英国規格協会の発行し

ISMの国際標準とリスクマネジメント（２）

２．

JIS Q 27001：2005 目次 ０．序文 １．適用範囲 ２．引用規格 ３．用語及び定義 ４．情報ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑ ５．経営陣の責任 ６．ISMSの内部監査 ７．ISMSのﾏﾈｼﾞﾒﾝﾄﾚﾋﾞｭｰ ８．ISMSの改善 附属書A 管理目的と管理策（133項目） 附属書B OECD原則とこの国際規格 附属書C ISO9001:2000,ISO14001:2004と この国際規格の比較 参考文献 組織にISMSを構築するための要求事項が記述 されている。 箇条４でPDCAに基づくISMS構築の 全般的要求事項が示され，続く過剰５～８でト ピック毎により詳細な要求事項を示している。 リスクマネジメントに関する要求事項は，ここ（箇 条４～８）で示されている。 箇条４～８の要求事項で要求されてい るリスクアセスメント及びリスク対応の 結果に基づいて，組織ごとに選択して 実行する事項。選択した管理目的及び 管理策はその組織にとっての要求事項 になる。 図５ JIS Q 27001の構成概要

ISMの国際標準とリスクマネジメント（３）

２．

4.2.1 b) ISMS基本方針の定義 ・ ISMSの確立及び維持をする、組織の戦略的なリスクマネジメントの状況と調和をとる。 ・ リスクを評価するに当たっての機軸を確立する[4.2.1 c) 参照]。 4.2.1 c) リスクアセスメントに対する組織の取組み方の定義 ・ ISMS、情報セキュリティ、法令及び規制の要求事項に適したリスクアセスメントの方法 の特定 ・ 比較可能で、かつ、再現可能な結果を生み出すリスクアセスメントの方法，及びリスク 受容基準の設定 4.2.1 d) リスクの特定 ・ 資産（又は資産グループ）及び管理責任者の特定 ・ 資産（又は資産グループ）に対する脅威の特定 ・ 脅威（又は資産グループ）がつけ込むかもしれないぜい弱性の特定 ・ 機密性、完全性及び可用性の喪失が資産（又は資産グループ）に及ぼす影響の特定

27001のリスクマネジメントに関する要求事項概要（１）（箇条４より）

※簡略化のためJIS Q 27001:2006の表現を一部変更しています。 リスクは組織が保護すべき 資産（又は資産グループ） に対して特定，分析され， 評価される。

ISMの国際標準とリスクマネジメント（４）

２．

27001のリスクマネジメントに関する要求事項概要（２）（箇条４より）

4.2.1 e) リスクの分析、評価 ・ セキュリティ障害に起因すると予想される，資産（又は資産グループ）の機密性、完全 性又は可用性の喪失の結果を考慮した，事業的影響のアセスメントの実施。 ・ 脅威，ぜい弱性，情報資産に関連する影響，既に実施している管理策の観点から，セ キュリティ障害などの現実的な発生可能性についてアセスメントを実施。 ・ リスクレベルの算出。 ・ リスク受容基準を用いてリスクを受容できるか対応が必要か判断する。 4.2.1 f) リスク対応のための選択肢（適切な管理策の適用，受容，回避，移転） を特定し、評価する。 4.2.1 g) リスク対応のための管理目的及び管理策を選択する。 4.2.1 h) 残留リスクについて経営陣の承認を得る。 ※簡略化のためJIS Q 27001:2006の表現を一部変更しています。 リスクアセスメント，対応の結果を根拠に具体 的なセキュリティ管理内容がrequirementsとし て決定される。（組織毎に異なる内容）

ISMの国際標準とリスクマネジメント（５）

２．

ISO/IEC 27000

 ISO/IEC 27000:2009 Information technology Security techniques -Information security management systems - Overview and vocabulary

 2009年4月30日に初版発行。  ISO/IEC 27000シリーズ規格の概要，シリーズ規格において共通して使用さ れる用語などについて規定。  マーケティング用及び教育用の文書としての性格を持ち，次のサイトで 無償で配布されている。（ISOのサイトでは有償配布。） http://standards.iso.org/ittf/PubliclyAvailableStandards/  通常のISO規格の有効期限は5年で，これ毎に見直しを行なうが，ISO/IEC 27000は，シリーズ規格の概要や用語について記載し，他規格から参照さ れるため，期限を待たず早期改訂することが提案され，推進されている。現 在改訂作業中（WD）。  リスクマネジメントに関する用語もISO/IEC Guide 73:2002を参照しつつ，本 シリーズ規格に独自のものは，個別に定義されている。

ISMの国際標準とリスクマネジメント（６）

２．

情報セキュリティに関連する用語 2.28 基本方針 2.29 予防処置 2.31 プロセス 2.36 リスク分析 2.37 リスクアセスメント 2.38 リスクコミュニケーション 2.39 リスク基準 2.40 リスクの算定 2.41 リスク評価 2.42 リスクマネジメント 2.43 リスク対応 2.45 脅威 2.46 脆弱性 2.2 責任追跡性 2.5 認証 2.6 真正性 2.7 可用性 2.9 機密性 2.19 情報セキュリティ 2.25 完全性 2.27 否認防止 2.33 信頼性 情報セキュリティリスクに関連する用語 2.1 アクセス制御 2.3 資産 2.4 攻撃 2.10 管理策 2.11 管理目的 2.15 事象 2.17 影響 2.18 情報資産 2.20 情報セキュリティ事象 2.21 情報セキュリティインシデント 2.22 情報セキュリティインシデント管 理 2.24 情報セキュリティリスク 2.34 リスク 2.35 リスク受容 マネジメントに関連する用語 文書化に関連する用語 2.8 事業継続 2.12 是正処置 2.13 有効性 2.14 効率 2.16 指針 2.23 情報セキュリティマネジメント システム (ISMS) 2.26 マネジメントシステム 2.30 手順 2.32 記録 2.44 適用宣言書 図６ ISO/IEC 27000:2009の用語一覧 ２７０００の用語は，Annex B (informative) で上記の４つにカテゴライズ されている。

ISMの国際標準とリスクマネジメント（７）

２．

ISO/IEC 27005

 ISO/IEC 27005:2011 Information technology Security techniques -Information security risk management

 2008年6月19日に初版発行。 2011年5月19日改訂版発行。

 ISO/IEC 27001及び27002に基づき，リスクマネジメントアプローチに基づく 情報セキュリティの確実な実装を支援するガイダンス文書。

 ISO/IEC TR 13335-3及び4:（GMITS）を統合し，ISO/IEC 13335-2（MICTS-2） に改訂中に，ISO/IEC 27000ファミリー規格化に伴い改番。  一般的リスクマネジメントに関する用語はISO Guide73:2009（JIS Q 0073:2010）を参照。  2011年に発行された改訂版は，ISO 31000:2009及びGuide 73:2009の発行 に対応するもの。ISO/IEC 27001の改訂版発行にあわせて再度改訂される 予定。

ISMの国際標準とリスクマネジメント（８）

２．

リスクアセスメント 組織の情況の確定 リスク特定 リスク分析 リスク評価 リスク対応 コ ミ ュ ニ ケ ー シ ョ ン 及 び 協 議 モ ニ タ リ ン グ 及 び レ ビ ュ ー リスクアセスメント リスク分析 組織の情況の確定 リスク特定 リスク分析 リスク評価 リスク対応 コ ミ ュ ニ ケ ー シ ョ ン 及 び 協 議 モ ニ タ リ ン グ 及 び レ ビ ュ ー リスク受容 リスク決定時点1 アセスメントの十分性 Yes リスク決定時点2 リスク対応の十分性 _Yes No No ＜2008年版＞ ＜2011年版＞ 変 更 ※ ISO 31000のプロセスと同じになった 図７ 27005のリスクマネジメントプロセス（仮訳）

ISMの国際標準とリスクマネジメント（９）

２．

序文 1. 適用範囲 2. 引用規格 3. 用語及び定義 4. 規格の構成 5. 規格の背景 6. 情報セキュリティリスクマネジメントプロセスの概要 7. 組織の状況の確定 7.1 一般的考察 7.2 基本評価基準 7.2.1 リスクマネジメントアプローチ，7.2.2 リスク 評価基準，7.2.3 影響（Impact）基準，7.2.4 リスク 受容基準 7.3 範囲と境界 7.4 情報セキュリティリスクマネジメントのための組織 8. 情報セキュリティリスクアセスメント 8.1 一般記述 8.2 リスクの特定 8.2.1 序文，8.2.2 資産の特定，8.2.3 脅威の特定， 8.2.4 既存の管理策の特定，8.2.5 脆弱性の特定， 8.2.6 結果の特定 8.3 リスク分析 8.3.1 リスク分析方法論，8.3.2 結果の分析， 8.3.3 インシデントの発生可能性の分析， 8.3.4リスクレベルの決定 8.4 リスク評価 9. 情報セキュリティリスク対応 9.1 一般記述 9.2 リスクの修正 9.3 リスクの保有 9.4 リスクの回避 9.5 リスクの共有 10. 情報セキュリティリスクの受容 11. 情報セキュリティリスクコミュニケーション及び協議 12 情報セキュリティリスクの監視及びレビュー 12.1 リスク要因の監視及びレビュー 12.2 リスクマネジメントの監視，レビュー及び改善 附属書 A (参考) 情報セキュリティマネジメントプロセスの 適用範囲及び境界の定義 附属書 B (参考) 資産の特定，評価及び影響分析 附属書 C (参考) 典型的な脅威の例 附属書 D (参考) 脆弱性及び脆弱性分析手法 附属書 E (参考) 情報セキュリティリスクアセスメントの取 り 組み方 附属書 F (参考) リスク修正における制約 附属書 G (参考) ISO/IEC 27005:2008及びISO/IEC27005 2011間の定義の差 参考文献

ISMの国際標準とリスクマネジメント（１０）

２．

現状の問題点： 27000ファミリー規格の中で概念と用語に丌整合が生じている。 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 ～ ISO Guide73 ISO 31000 ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27005 初版発行 改訂版発行 初版発行 初版発行 現在改定作業中 初版発行 現在改定作業中 初版発行 改訂版発行 参照 参照 参照 ﾘｽｸの定義：発生確率＆事象の結果 ﾘｽｸの定義：丌確かさ ﾘｽｸの定義：発生確率＆事象の結果 参照 ﾘｽｸの定義：丌確かさ ﾘｽｸの定義：発生確率＆事象の結果 ﾘｽｸの定義：発生確率＆事象の結果 ﾘｽｸの定義：発生確率＆事象の結果 参照 27005は27001をサポート する規格でありながら， 用語の定義に現在 不整合が 生じている。 図９ 不整合の例

３

社会セキュリティマネジメント（SSM）の

国際標準とリスクマネジメント

SSMの国際標準とリスクマネジメント（１）

３．

ISO DIS 22301（策定中）

 ISO/DIS 22301:2010 Societal security-Preparedness and continuity management systems－Requirements 社会セキュリティ－緊急事態準備及び事業継続マネジメントシステム－ 要求事項（仮訳）  2008年から検討を開始し，現在ISO/TC223/WG4にて開発中（DIS）。  2012年に規格として発行予定。  全ての組織を対象とし，組織がBCM を導入し運用する際に実施すべき 項目を要求事項として明示した認証規格。  企業だけでなく，公的機関，非営利組織など全ての組織が対象。（原語 のタイトルでBusiness Continuityの表現が使用されていない）  リスクマネジメントに関連する内容として，ビジネスインパクト分析とリス クアセスメントに関する記述がある。  マネジメントシステムのひとつとして，ISO/TMB/TAG13-JTCGの新MSS 共通フォーマットへの適合を検討中。

SSMの国際標準とリスクマネジメント（２）

３．

定義 目的に対して丌確さが不える影響

effect of uncertainty on objectives.

注記１ 影響とは、期待されていることからのよい方向および／または悪い方向への偏差。 注記２ 丌確かさは，部分的であれ，事象に関して情報が丌足している状態。事象の結果と 起こりやすさの組合せは，リスクを特徴づけるために使用できる。 注記３ 諸目標は、例えば財務・安全衛生・環境に関する到達目標など、さまざまな側面を持 ち得るものであり、戦略・組織全体・プロジェクト・製品・プロセスなどさまざまなレベ ルに適用できる。 ISO DIS 22301 によるリスクの定義（仮訳）

上記は，DISの仮訳であり，確定された内容でないことに留意。

定義文，及び注記１と注記３はISO Guide 73:2009が引用されている。

注記２は，独自に追加された項目。

上の定義からリスクは純粋リスクに限定されない。また事業継続に

係る特定のリスク（事業継続リスク）などの用語も定義されていない。

SSMの国際標準とリスクマネジメント（３）

３．



リスクマネジメントに関連する活動として，ビジネスインパクト分析

（Business Impact Analysis：BIA）及びリスクアセスメントがある。

 ビジネスインパクト分析は，業務が止まった場合の影響を分析することで， 復旧する業務の優先度付けを行い，必要なリソース配分，目標復旧時間 （RTO）を決定する活動 事業継続マネジメントの特徴的活動  リスクアセスメントは，優先される業務の妨げとなりうるリスクを特定，分析 及び評価する活動 ISO 31000プロセスに沿った活動



リスクマネジメントのためのコミュニケーション，モニタリング及び

レビュー，並びにリスク対応についての独立した記述は無いが，

事業継続のためのマネジメントシステム全体としてPDCAモデルを

活用しているため，その中マネジメントサイクルに含める形で記述

されている。



リスクマネジメント活動については，ISO 31000のプロセスを参照。

22301のリスクマネジメントに関する記述内容（概要）

SSMの国際標準とリスクマネジメント（４）

３．

ISO DIS 22313（策定中）

 ISO/DIS 22313:2010 Societal security-Preparedness and continuity management systems－Requirements

社会セキュリティ－緊急事態準備及び事業継続マネジメントシステム－ 要求事項（仮訳）

 2008年から検討を開始し，現在ISO/TC223/WG4にて開発中（DIS）。

SSMの国際標準とリスクマネジメント（５）

３．

ISO DIS 22320 （策定中）

 ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements

 現在，ISO/TC223/WG3にて改定作業中（DIS）。  危機管理に関する認証規格。  リスクマネジメント自体についての記述は無いが，特定されたリスクに対し て実施すべき内容が記述されており，組織におけるリスクマネジメントの実 施を前提としているといえる。  東日本大震災の発生に関連し，ISOの特別な許可によりDIS文書が次の日 本規格協会HPにて掲載中。 http://www.jsa.or.jp/stdz/mngment/pdf/fdis_pre22320j.pdf

参考： 標準化（ISO）組織と

標準化組織（ISO） （１）

参考

総会 GA (General Assembly) 年1 回開催 理事会20 カ国 Council 年2 回開催 ISO 中央事務局 CS（Central Secretariat） 153 名(26 カ国から)の職員で構成 【役員】 会長 副会長(政策) 副会長（技術管理) 財務監事 事務総長 政策開発委員会PDC

（Policy Development Committees） 適合性評価委員会CASCO 消費者政策委員会COPOLCO 発展途上国対策委員会DEVCO

理事会常設委員会 (Council Standing Committees) 理事会財政常設委員会CSC/FIN

理事会戦略常設委員会 CSC/STRAT

アドホックアドバイザリーグループ （Ad Hoc advisory groups）

技術管理評議会TMB （Technical Management Board）

戦略諮問グループSAG 専門諮問グループTAG 標準物質委員会REMCO 専門委員会（TC） 分科委員会（SC） 作業グループ（WG） アドホックグループ （AHG） 編集委員会 合同専門委員会（JTC） 作業グループ（WG） 編集委員会 分科委員会（SC） IEC*2 *2 国際電気標準会議 （International Electrotechnical Commission） 図１０ 国際標準化機構（ISO）の機構図

標準化組織（ISO） （２）

参考

ISO総会 TMB セキュリティ技術 SC27 図１１ 本稿で紹介する規格の検討組織 情報技術 JTC1 IEC 合同技術調整 グループ TAG13-JTCG リスクマネジ メントWG PC262 WG1：情報ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑ WG2：暗号とｾｷｭﾘﾃｨﾒｶﾆｽﾞﾑ WG3：ｾｷｭﾘﾃｨ評価基準 WG4：ｾｷｭﾘﾃｨｺﾝﾄﾛｰﾙとｻｰﾋﾞｽ WG5：ｱｲﾃﾞﾝﾃｨﾃｨ管理とﾌﾟﾗｲﾊﾞｼｰ技術 社会セキュリティ TC223 ISO 31000開発及び ISO Guide73改訂 ISO 31004の開発 マネジメント規格の 共通構造，用語等 の開発 WG1において，ISO/IEC 27000，ISO/IEC 27001，ISO/IEC 27005等の開発及び改訂 ﾃﾞｨﾍﾟﾝﾀﾞﾋﾞﾘﾃｨ TC56 ISO/IEC 31010の開発 WG1：ﾏﾈｼﾞﾒﾝﾄﾌﾚｰﾑﾜｰｸ WG2：用語 WG3：指揮・命令及び協力・協調 WG4：緊急事態準備と業務継続 ﾏﾈｼﾞﾒﾝﾄ WG5：ﾋﾞﾃﾞｵｻｰﾍﾞｲﾗﾝｽ WG3において，ISO22320， WG4において，ISO22301 を開発

標準（ISO）規格の種類

参考

規格の種類

 国際規格（International Standard, IS）

加入各国のコンセンサスのプロセスを経て開発された規定文書

 技術仕様書（Technical Specification, TS）

IS の発行に関する合意が将来的には可能でも直ちには得られないとい う条件下で，TC又はSCがNP承認時点でCDの内容での発行を妥当と判 断した場合に発行される文書。

 公開仕様書（Publicly Available Specification, PAS）

ISの完成に先立って発行される中間仕様書。規格としての要求事項は 満たしていない。  技術報告書（Technical Report, TR） IS とは異なる種類の情報（各会員団体で実施された調査データ，他の 国際機関の作業に関するデータ，特定の主題に関する各会員団体の規 格の現状調査データなど）を収集した参考のための文書  ガイド（Guide） 政策開発委員会や技術管理評議会（TMB）が設置した委員会などが作 成する，広い分野，テーマを扱うガイダンス文書。

標準（ISO）規格の策定手順

参考

段階 内容 スケジュール 提案段階 新業務項目提案NPの提案 ⇒ NPの承認 NP提案 NP承認 作成段階 NPの登録 ⇒ WDのCD登録の承認 6ヶ月以内 NP登録 WD承認 委員会段階 CDの登録 ⇒ CDのDIS登録の承認 12ヶ月以内 CD登録 CD承認 照会段階 DISの登録 ⇒ DISのFDIS登録の承認 24ヶ月以内 DIS登録 DIS承認 承認段階 FDISの登録 ⇒ FDISの承認 30ヶ月以内 FDIS登録 FDIS承認 発行段階 FDISの登録 ⇒ FDISの承認 36ヶ月以内 国際規格（IS）発行 図１２ ISO規格の策定手順

参考文献

[1] ISOマネジメントシステム／リスクマネジメントの標準化，日本規格協会， http://www.jsa.or.jp/stdz/mngment/risk.asp

[2] リスクマネジメントに関する国際標準規格ISO31000の活用（TRC EYE vol.266），東京海上日動リスクコンサ ルティング株式会社，指田朝久氏，http://www.tokiorisk.co.jp/risk_info/up_file/201004301.pdf

[3] マネジメントシステム規格の整合化動向，財団法人日本規格協会 ISO/TMB-JTCG 対応国内委員会 事務局， http://www.jsa.or.jp/stdz/mngment/mngment03.asp

[4] BCM・リスク規格関連/国際規格，財団法人日本規格協会 JSA Web Store，

http://www.webstore.jsa.or.jp/webstore/webstore/Top/html/jp/ad/bcmrisk_iso.pdf [5] ISOの機構図，財団法人 日本 規格協会，http://www.jisc.go.jp/international/iso-structure2010.pdf [6] リスクマネジメントと事業継続マネジメントの標準化 ，財団法人 日本 規格協会， http://www.jsa.or.jp/stdz/mngment/pdf/iso_bcm.pdf [7] 国際標準化について，日本工業標準調査会（JISC），http://www.jisc.go.jp/international/index.html [8] ISO暫定最終国際規格原案（preFDIS）社会セキュリティ－危機管理－危機対応に関する要求事項（22320） 邦訳版，財団法人・日本 規格協会， http://www.jsa.or.jp/stdz/mngment/pdf/fdis_pre22320j.pdf [9] New ISO standard for effective management of risk，International Organization for Standardization