セキュリティリスクアセスメントは、情報資産に対する脅威・脆弱性・影響度を体系的に分析し、組織として優先的に対応すべきリスクを特定するためのプロセスです。ISO/IEC 27001（ISMS）の中核要件であり、認証取得・維持の必須ステップに位置づけられます。

しかし、多くの中堅企業では「テンプレートにリスクを書き出すだけ」「年1回の形式作業」になりがちで、実際のセキュリティ対策につながっていません。形式と実態が乖離すると、ISMS審査で指摘を受けるだけでなく、現実のインシデント発生時に判断材料を欠きます。

本記事では、ISMS対応のセキュリティリスクアセスメントを実務で機能させるための手順を、ISO/IEC 27001:2022の要求事項に沿って整理します。情報資産棚卸しから残留リスク承認まで、中堅企業の情シスが運用できる現実解を示します。

対象読者は、ISMS認証取得を主導する情報セキュリティ責任者、リスクアセスメントを実施するIT管理担当者、内部監査担当者です。

セキュリティリスクアセスメントとは｜ISMSにおける位置づけ

セキュリティリスクアセスメントは、ISO/IEC 27001の要求事項6.1.2「情報セキュリティリスクアセスメント」で定義されるプロセスです。情報資産に発生しうるリスクを特定・分析・評価し、対応の優先順位を決定する一連の活動を指します。

このプロセスは、ISMSの中で「リスクベースで管理策を選択する」ための土台として機能します。組織の規模や業界に関係なく、自社固有のリスクを把握したうえで、適切な管理策を選び、リソースを配分する判断材料になります。

リスクアセスメントとリスク対応の違い

リスクアセスメントは「リスクを特定・分析・評価する」段階であり、リスク対応は「特定されたリスクに対して回避・低減・移転・保有のいずれを選ぶか決定する」段階です。両者は連続したプロセスとして設計します。

中堅企業ではこの2段階を混同し、リスクを書き出した直後に対策表を作るパターンが多く見られます。リスク評価基準が曖昧なまま対策に進むと、優先順位を取り違えます。

ISO/IEC 27001:2022での位置づけ

2022年版では、Annex Aの管理策が93個に再編され、リスクアセスメントの結果に応じて適切な管理策を選択する構造が強化されました。リスク評価結果と管理策の対応関係を「適用宣言書（SoA）」で文書化することが求められます。

中堅企業ではISO/IEC 27001:2022への移行が求められており、2025年10月31日の移行期限を経て、現在は2022年版（ISO/IEC 27001:2022 + Amd 1:2024、国内ではJIS Q 27001:2025）が認証基準となっています。

参考：JIS Q 27001:2023 - 経済産業省

リスクアセスメントの全体像｜5ステップで構成される標準プロセス

リスクアセスメントは、情報資産棚卸しから残留リスク承認まで5つのステップで構成されます。各ステップで必要なアウトプットが明確になっているため、プロジェクト管理の単位として機能します。

ステップ間の依存関係を理解せず、並行で進めると、後のステップで前段のやり直しが発生します。順序を守ることが結果的に最短経路です。

ステップ1：情報資産の特定と棚卸し

組織が保有する情報資産を業務プロセス単位で洗い出します。電子データ、紙文書、システム、ソフトウェア、人、施設など、価値を持つ全ての資源が対象です。中堅企業では、SaaSサービス・クラウドストレージ上のデータも漏れなく含めます。

棚卸しの粒度は、後続の評価作業に耐えうるレベルまで細かくします。ただし、細かすぎると数百〜数千件の資産が並び、評価が形骸化します。500件以下を目安に、業務単位でグルーピングします。

ステップ2：リスク評価基準の設定

リスクの大きさを判断するための基準を、評価実施前に明確にします。機密性・完全性・可用性（CIA）の各観点で、影響度と発生頻度を3〜5段階で定義します。

判断基準を文書化しないまま評価を進めると、評価者によって結果が大きくばらつき、再現性のないアセスメントになります。基準書は経営層が承認し、組織共通のルールとして運用します。

ステップ3：脅威・脆弱性の特定とリスク分析

各情報資産に対して、想定される脅威（不正アクセス、マルウェア、内部不正、災害など）と脆弱性（パッチ未適用、アクセス権過剰付与、教育不足など）を組み合わせて、リスクシナリオを書き出します。

シナリオごとに、影響度×発生頻度でリスクレベルを算出します。中堅企業では、過去のインシデント実績、業界事故事例、IPAの脅威動向などを参考に、現実的なシナリオを設定します。

ステップ4：リスク評価とリスク対応決定

算出したリスクレベルを評価基準と照合し、許容できるリスクと対応が必要なリスクを区別します。対応が必要なリスクには、回避・低減・移転・保有の4つの選択肢から最適な対応を選びます。

回避は活動の中止、低減は管理策の追加、移転は保険や委託、保有は許容です。経営判断を伴うため、対応方針は経営層またはISMS委員会で承認します。

ステップ5：残留リスクの承認と文書化

リスク対応後も残るリスクを「残留リスク」として明示し、経営層が承認します。残留リスクの承認はISMS審査で必ず確認される項目で、責任所在を経営層に置く構造が求められます。

リスクアセスメント結果、リスク対応計画、適用宣言書、残留リスク承認記録を、ISMS文書として整理・保管します。次回アセスメント時の比較基準にもなります。

参考：情報セキュリティ監査制度・管理基準 - 経済産業省

リスク評価基準の設計｜影響度・発生頻度の定量化

リスクアセスメントの精度は、評価基準の設計品質で大きく変わります。基準が抽象的だと評価結果が再現できず、ISMS審査で指摘を受けます。

中堅企業では3〜5段階のシンプルな基準で十分機能します。基準を厳密にしすぎると、評価作業が膨大になり継続できません。

影響度の評価尺度

影響度は機密性・完全性・可用性の3軸で評価します。例えば機密性なら、「個人情報・営業秘密が大量漏えい（5）」「重要顧客情報が漏えい（4）」「社内機密情報が漏えい（3）」「業務情報が漏えい（2）」「公開情報のみ（1）」のような区分です。

定量基準を設けることで、評価者間のばらつきが抑えられます。金銭的影響、復旧時間、社会的信用への影響など、組織にとって測りやすい尺度を選びます。

発生頻度の評価尺度

発生頻度は「年に複数回想定（5）」「年1回程度想定（4）」「数年に1回程度（3）」「10年に1回程度（2）」「ほぼ発生しない（1）」のような区分が一般的です。

過去のインシデント記録、業界統計、脆弱性公表情報などを参考に、根拠を持って区分します。経験則だけで判断すると、楽観的すぎる評価になりがちです。

リスクレベルの算出方法

影響度×発生頻度でリスクレベルを算出します。5×5マトリクスなら、25が最大、1が最小です。算出値を「高（15以上）」「中（8〜14）」「低（7以下）」のような区分にまとめ、対応優先度を決定します。

中堅企業では、高リスクは即時対応、中リスクは年度内対応、低リスクは許容（または継続監視）という運用が標準的です。経営資源の制約を踏まえた現実的な対応計画を立てます。

ISO/IEC 27001:2022 Annex Aの管理策との連動

リスクアセスメント結果は、ISO/IEC 27001:2022 Annex Aの93個の管理策と紐づけて、適用宣言書（SoA）にまとめます。リスクと管理策の対応関係を文書化することで、リスクベースの管理体制であることを審査で証明できます。

2022年版では、管理策が4テーマ（組織的・人的・物理的・技術的）に再編され、新規追加された管理策（脅威インテリジェンス、クラウドサービス利用、ICT準備態勢など）も含まれます。

組織的管理策（37項目）

ポリシー、役割と責任、職務分離、サプライヤ関係、インシデント管理、事業継続などの管理策が含まれます。中堅企業では、特に「A.5.19 サプライヤ関係における情報セキュリティ」「A.5.23 クラウドサービス利用」が重要度を増しています。

リスクアセスメントで「サプライチェーン経由のリスク」「クラウドサービスの脆弱性」が高評価された場合、これら管理策を適用する必要があります。

人的管理策（8項目）

雇用前審査、雇用条件、教育訓練、懲戒手続き、機密保持契約などの管理策です。リモートワーク拡大に伴い「A.6.7 リモートワーク」が整理・強化されており、自宅・カフェなどの作業環境のリスク評価が重要視されています。

物理的管理策（14項目）

入退室管理、装置の保護、ケーブル配線などの管理策です。中堅企業では、データセンタやサーバルームを保有しないケースも多く、「A.7.10 ストレージメディア」「A.7.13 装置の保守」が現実的な対象になります。

技術的管理策（34項目）

アクセス制御、暗号化、システム取得・開発・保守、通信セキュリティなどの管理策です。2022年版で追加・整理された「A.8.9 構成管理」「A.8.16 監視活動」「A.8.23 ウェブフィルタリング」「A.8.1 ユーザエンドポイント装置」などは、現代的なリスクに対応するため重要度が高い管理策です。

参考：ISO/IEC 27001:2022 移行情報 - ISMS-AC

中堅企業がアセスメントで陥りやすい5つの罠と回避策

リスクアセスメントを形式作業で終わらせず、実務で機能させるには、よくある罠を事前に把握することが有効です。

中堅企業特有のリソース制約・組織構造を踏まえた回避策を組み込むことで、継続運用に耐える設計にできます。

罠1：情報資産の粒度が粗すぎる・細かすぎる

業務単位で500件以下を目安に、価値・脅威・脆弱性が共通する資産はグルーピングします。1万件の資産台帳は評価しきれません。

罠2：評価者によってリスクレベルがばらつく

評価基準書を策定し、複数評価者で同じ資産を評価する「評価キャリブレーション」を実施します。基準の解釈を揃えてから本評価に入ります。

罠3：リスク対応が「低減」一辺倒になる

回避・低減・移転・保有の4選択肢を意識的に検討します。クラウド移行による移転、業務プロセス変更による回避など、低減以外の選択肢が経営的に最適なケースもあります。

罠4：残留リスクの承認が形式化する

経営層への報告では、リスク総数だけでなく、上位リスクの内容と影響を具体的に説明します。残留リスクの承認は経営判断であり、判断材料を提供する責任があります。

罠5：年1回の形式作業で陳腐化する

定期アセスメント（年1回）に加え、組織変更・新システム導入・重大インシデント発生時に臨時アセスメントを実施します。SaaS追加時の都度評価を仕組み化することで、シャドーITリスクも統制下に置けます。

用語集｜リスクアセスメントで押さえる10語

ISMS実務で頻出する用語を整理します。文書間で用語が統一されていないと、審査で指摘を受けるリスクがあります。

組織内で用語の解釈を揃え、ポリシー・対策基準・実施手順で一貫した使い方をします。

• ISMS：情報セキュリティマネジメントシステム。ISO/IEC 27001で要件が定義される
• 情報資産：組織が保有する情報・システム・人・施設など、価値を持つ資源全般
• リスク：脅威が脆弱性を悪用して情報資産に損害を与える可能性とその影響度
• 脅威：情報資産に損害を与える可能性のある事象。マルウェア、内部不正、災害など
• 脆弱性：脅威に悪用される可能性のある弱点。パッチ未適用、教育不足など
• リスクレベル：影響度×発生頻度で算出されるリスクの大きさを示す指標
• リスク対応：特定されたリスクに対する回避・低減・移転・保有の4つの選択肢
• 残留リスク：リスク対応後に残るリスク。経営層の承認が必要
• 適用宣言書（SoA）：ISO/IEC 27001 Annex Aの管理策のうち、適用する管理策を明示した文書
• 内部監査：ISMSが計画通り運用されているか組織内部で確認する活動

ジョーシスでアセスメント結果を運用に反映する

リスクアセスメントで特定された管理策を、日常運用に落とし込むには、IT資産・SaaS・ID・アクセス権の継続的な可視化が出発点です。ジョーシスのプラットフォームは、SaaS台帳・IDライフサイクル・アクセスレビュー周辺の証跡取得を自動化し、ISMS運用を支援します。なお、教育・委託先管理・物理セキュリティなどは別途組織的に対応が必要です。

中堅企業の情シスでは、限られた人員でISMS要件を満たし続ける必要があり、手作業での台帳更新・点検では運用が破綻します。ツールによる自動化が現実解です。

情報資産棚卸しの自動化

ジョーシスは350以上のSaaSと連携し、組織内で利用されているサービス・ライセンス・ユーザを継続的に可視化します。情報資産棚卸しの主要部分が自動化され、Excel手動更新からの解放を実現します。

シャドーITの早期発見、未使用ライセンスの特定、アクセス権の網羅性確認まで、ダッシュボードベースで運用できます。

管理策の継続的な実施と監査証跡

ISO/IEC 27001:2022のAnnex Aから「A.5.15 アクセス制御」「A.5.16 アイデンティティ管理」「A.5.18 アクセス権」「A.8.16 監視活動」など、IT管理に関わる管理策をジョーシス上で自動運用できます。

退職者アカウント自動停止、特権アカウント監視、アクセス権定期レビュー、操作ログ保全など、内部監査・外部審査で求められる証跡を自動取得できます。実際の導入企業では、IT工数を最大50%、ITコストを最大75%削減した事例があります。

リスク評価の更新運用

新規SaaS導入時の自動検知、利用状況変化のアラート、アクセス権過剰付与の検出など、リスク評価のトリガーとなる変化をリアルタイムで把握できます。年1回の形式作業ではなく、継続的なリスク管理体制を実現します。

ジョーシスは国内外700社以上に導入され、SaaS管理・IDガバナンス・IT資産管理を統合的に担うプラットフォームとして、中堅企業のISMS運用を支えています。‍

無料デモで自社への導入効果を確認する

参考：Josys 公式サイト

よくある質問｜リスクアセスメントの実務疑問

ISMS認証取得・維持に取り組む情シスからよく挙がる質問を整理します。実務判断で迷いやすいポイントを中心にピックアップしました。

Q1：アセスメントの実施頻度はどれくらいが適切ですか

定期アセスメントは年1回が標準です。加えて、組織変更、新システム導入、重大インシデント発生、規格・法令改正のタイミングで臨時アセスメントを実施します。継続的にリスクを把握する仕組みを整えることが重要です。

Q2：情報資産はどこまで細かく洗い出すべきですか

500件以下を目安に、業務プロセス単位でグルーピングします。価値・脅威・脆弱性が共通する資産はまとめて評価して問題ありません。粒度が粗すぎても細かすぎても評価が形骸化します。

Q3：評価基準は他社のものを流用してよいですか

業界・規模・業務特性に応じて自社で調整する必要があります。他社事例は出発点として参考にし、影響度の金額基準・発生頻度の根拠などを自社実情に合わせて設定します。

Q4：リスク対応はすべて低減を選ぶべきですか

リスクの性質と経営資源を踏まえ、回避・低減・移転・保有の4選択肢から最適なものを選びます。クラウド移行による移転、業務プロセス変更による回避、保険による移転など、低減以外の選択肢も検討します。

Q5：適用宣言書（SoA）の更新タイミングは

リスクアセスメント結果や管理策の選択が変更された都度更新します。ISO/IEC 27001:2022への移行時には、Annex Aの93個全管理策に対して適用・除外の判断を再実施し、適用宣言書を全面改訂します。

まとめ｜継続的なリスク管理体制への移行

セキュリティリスクアセスメントは、ISMSの中核要件であり、組織のセキュリティ水準を継続的に高めるためのプロセスです。情報資産棚卸しから残留リスク承認までの5ステップを丁寧に進めることで、形式作業ではなく実務で機能するアセスメントになります。

中堅企業では、限られた人員でISMS要件を満たすために、SaaS管理・IDガバナンス・IT資産管理を統合したツール基盤の整備が前提条件です。ジョーシスのような統合プラットフォームを活用することで、情報資産棚卸しの自動化、管理策の継続的実施、監査証跡の自動取得が実現でき、IT工数を最大50%削減しながらアセスメント品質を高められます。

まずは自社の情報資産の現状把握から着手し、SaaS利用実態を可視化することをおすすめします。実態が見えれば、リスク評価の精度が上がり、経営層への説明責任も果たせます。