SP 800-30とは
NIST SP 800-30 Rev.1「Guide for Conducting Risk Assessments」(2012年公開)は、情報システムのリスクアセスメント(リスク評価)を実施するための具体的な方法論を示したガイドラインです。SP 800-39(リスク管理の全体フレームワーク)の一部として位置づけられ、リスクの特定・分析・評価のプロセスを詳細に定義しています。
セキュリティ対策の優先順位を決めるには「何がどの程度危険か」を定量・定性的に評価する必要があり、SP 800-30はその評価手法の標準となっています。
リスクアセスメントの4ステップ
| ステップ | 内容 | 主なアクション |
|---|---|---|
| 1. 準備 | 評価の目的、範囲、前提条件を定義 | 評価対象システムの特定、脅威情報源の選定、評価尺度の決定 |
| 2. 実施 | 脅威・脆弱性の特定、リスクの算出 | 脅威源の特定、脆弱性の評価、発生可能性×影響度でリスクレベルを算出 |
| 3. 伝達 | 評価結果を意思決定者に報告 | リスク評価報告書の作成、経営層へのブリーフィング |
| 4. 維持 | リスク評価の定期的な更新 | 脅威環境の変化、新たな脆弱性、対策状況の変化を反映して更新 |
脅威源の分類
SP 800-30は脅威源を4つに分類しています。
| 脅威源 | 例 | 意図 |
|---|---|---|
| 敵対的 | サイバー犯罪者、内部不正者、国家支援ハッカー | 意図的な攻撃 |
| 偶発的 | 従業員の操作ミス、設定エラー、誤送信 | 悪意なし |
| 構造的 | ハードウェア故障、ソフトウェアバグ、電源障害 | システム自体の問題 |
| 環境的 | 地震、洪水、停電、火災 | 自然災害・環境要因 |
リスクの算出
リスクは「発生可能性」×「影響度」で評価します。SP 800-30はそれぞれ5段階の評価尺度を提供しています。
| レベル | 発生可能性 | 影響度 |
|---|---|---|
| Very High | ほぼ確実に発生する | 壊滅的な被害(事業停止、重大な法的責任) |
| High | 発生する可能性が高い | 重大な被害(大規模なデータ漏洩、長期のサービス停止) |
| Moderate | 発生する可能性がある | 中程度の被害(一部業務への影響、短期の停止) |
| Low | 発生する可能性は低い | 軽微な被害(限定的な影響) |
| Very Low | ほぼ発生しない | 無視できる被害 |
リスク対応
算出したリスクに対して、以下の4つの対応方針から選択します。
| 対応 | 内容 | 例 |
|---|---|---|
| リスク回避 | リスクの原因となる活動自体を中止 | 危険なシステムの利用を停止 |
| リスク軽減 | 管理策を導入してリスクを許容範囲に低減 | MFA導入、暗号化、パッチ適用 |
| リスク移転 | リスクを第三者に移転 | サイバー保険の加入、アウトソーシング |
| リスク受容 | リスクを認識した上で対策せず受け入れる | 発生可能性・影響度ともに低いリスク |
まとめ
SP 800-30は「準備→実施→伝達→維持」の4ステップでリスクアセスメントを体系化したガイドラインです。発生可能性×影響度のリスクマトリクスで対策の優先順位を決定し、リスク対応方針(回避・軽減・移転・受容)を経営判断として選択します。