「リスクアセスメント、何を書けばいいか分からない」——そのモヤモヤ、Claudeと一緒に解消した。
ISO27001でもISO42001でも、リスクアセスメントは中核の作業だ。でも実際にシートを目の前にすると、「脅威って何を書けばいいの?」「脆弱性と脅威の違いが分からない」「リスク値の付け方が主観的すぎないか」——こういう声を現場でよく聞く。
今回は、Claudeを壁打ち相手にしながらリスクアセスメントシートを実際に埋めていく手順を紹介する。テンプレートも用意しているので、手元にダウンロードして一緒に進めてもらえると嬉しい。
→ 棚卸しから始めるISO27001——情報資産台帳をAIで効率化した話
目次
1. リスクアセスメントとは何か:最小限の理解
リスクアセスメントを一言で言うと、「何が起きる可能性があり、起きたらどれくらい困るかを整理すること」だ。
ISO27001では「情報資産に対するリスク」を、ISO42001では「AIシステムに関するリスク」を評価する。やっていることの本質は同じで、対象資産に対する脅威を洗い出し、その発生可能性と影響度を数値化して、対応の優先順位を決める。
難しく考えがちだが、「うちで一番まずいことが起きるとしたら何か」を整理する作業と捉えれば、そこまでハードルは高くない。
2. テンプレートの構成:何をどこに書くか
リスクアセスメントシートのテンプレートを用意している。構成は以下の通りだ。
対象資産:情報資産台帳から選んだ資産名。
脅威:その資産に対して起こりうる不都合な出来事。
脆弱性:脅威を受けやすくする弱点。
リスク内容:具体的にどんな被害が想定されるか。
発生可能性(1〜3):起きやすさの評価。
影響度(1〜3):起きた場合のダメージの大きさ。
リスク値:発生可能性×影響度で自動計算。
対応策:具体的に何をするか。
テンプレートにはサンプルデータが入っているので、それを自社に書き換える形で進められる。
3. ステップ1:対象資産を決める(情報資産台帳から選ぶ)
リスクアセスメントの最初のステップは、「何を評価するか」を決めることだ。情報資産台帳から重要度の高い資産を選ぶ。
全資産を一度に評価しようとすると時間がかかるので、まず重要度「高」の資産を優先して評価することをすすめる。重要度「中」「低」は次の評価サイクルで順次対応すればいい。
AIを業務で使っている場合は、「利用中のAIサービス」も対象資産に加える。ChatGPT・Claude・社内チャットボットなど、業務に使っているAIサービスを情報資産台帳に追加した上で、リスクアセスメントの対象に含める。
4. ステップ2:脅威と脆弱性を洗い出す(Claudeに壁打ちする)
ここが一番詰まりやすいポイントだ。「脅威って何を書けばいいの?」という問いに対して、Claudeを壁打ち相手にすると効率的に洗い出しができる。
実際に使ったプロンプトの例を紹介する。
「当社は従業員30名の中小企業で、顧客情報データベースを社内サーバーで管理しています。このデータベースに対する情報セキュリティ上の脅威と脆弱性を、それぞれ5つずつ洗い出してください。」
Claudeは汎用的な脅威リストではなく、こちらが提示した状況に合わせた脅威・脆弱性を提案してくれる。そこから「うちではこの脅威は現実的か?」を自分で判断する——この壁打ちプロセスが重要だ。
AIが出した案をそのまま採用するのではなく、自社の実態に合わせて「これはある」「これはうちには当てはまらない」と取捨選択する。この作業こそが、形式ではなく実質のあるリスクアセスメントにする。
5. ステップ3:リスク値を算出する(発生可能性×影響度)
脅威と脆弱性が洗い出せたら、それぞれに「発生可能性」と「影響度」を付ける。
発生可能性:1(ほとんど発生しない)/2(発生することがある)/3(頻繁に発生する)
影響度:1(業務への影響小)/2(一部業務に支障)/3(業務停止・重大損害)
リスク値は「発生可能性×影響度」で算出する。テンプレートでは自動計算が設定されているので数値を入れるだけだ。
リスクレベルの目安:6〜9は「高」(優先対応必須)、3〜5は「中」(計画的に対応)、1〜2は「低」(許容範囲)。
数値のつけ方に迷ったら、ここでもClaudeに壁打ちできる。「このケースだと発生可能性は2と3のどちらが妥当か?」と聞くと、判断の根拠を整理してくれる。
6. ステップ4:対応策を決める(許容・軽減・回避・移転)
リスク値が算出できたら、各リスクに対する対応策を決める。対応策は4つの選択肢がある。
軽減:リスクを下げる対策を実施する(例:パスワードポリシーの強化・アクセス権限の見直し)。
許容:リスクを認識した上で現状を受け入れる(リスク値が低い場合)。
回避:リスクの原因自体をなくす(例:該当業務をやめる・システムを廃止する)。
移転:リスクを第三者に移す(例:サイバー保険に加入する)。
リスクレベルが「高」のものは必ず「軽減」の対応策を定め、期限と担当者を設定する。「許容」を選ぶ場合でも、「なぜ許容するか」の理由を記録しておくことが重要だ。審査ではこの判断根拠を問われる。
7. AIリスクも同じシートで評価する
ISO42001にも対応するなら、同じシートにAIリスクを追加する。
具体的なAIリスクの例をいくつか挙げる。
・AIサービスへの機密情報の入力:脅威は「入力データの漏洩」、脆弱性は「利用ルールの不備・従業員の認識不足」。
・AIの出力結果の誤り:脅威は「誤った情報に基づく業務判断」、脆弱性は「レビュー体制の不備」。
・AIサービスの停止:脅威は「業務で利用しているAIが使えなくなる」、脆弱性は「代替手段の未整備」。
これらも発生可能性×影響度で評価し、既存の情報セキュリティリスクと一つのシートで管理すると、組織全体のリスクが一目で把握できる。
「一人で悩まない」がリスクアセスメントのコツ
リスクアセスメントで一番よくない状態は、「担当者が一人で悩んで手が止まること」だ。
Claudeを壁打ち相手にすることで、「何を書けばいいか」のゼロスタート問題が解消される。AIが出した叩き台を自社の実態に合わせて修正する——このプロセスなら、リスクアセスメントが初めてでも前に進める。
もちろん、最終的な判断は人間がする。AIの提案を鵜呑みにするのではなく、「うちではこれが現実的か?」を自分で考えることが、意味あるリスクアセスメントになる条件だ。
→ ISO27001の取得費用はいくらかかるか——コンサル費・審査費・維持費の現実
関連記事
・ISO42001の管理策38項目——中小企業はどこから始めるか
AIリスクの管理策を優先度順に整理した記事。
・棚卸しから始めるISO27001——情報資産台帳をAIで効率化した話
リスクアセスメントの前提となる情報資産台帳の作成方法。
・ISO27001の取得費用はいくらかかるか——コンサル費・審査費・維持費の現実
リスクアセスメントを外注するか自分でやるかの判断材料。
0 件のコメント:
新しいコメントは書き込めません。