【サイバーセキュリティ】リスクアセスメントの実施方法 ― 中小企業が「対策の優先順位」を決めるための実践ガイド
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
~ 限られた予算で最大の効果を得るために、リスクを「見える化」する方法 ~
「セキュリティ対策にはお金がかかる。でも、予算は限られている。何から手をつければいいのか。」
中小企業の経営者にとって、セキュリティ対策への投資判断は難しい問題です。UTM、EDR、バックアップ、従業員教育――やるべきことは山のようにありますが、すべてを一度に実施する予算はありません。
この問題を解決するのがリスクアセスメントです。自社の情報資産に対する脅威とリスクを体系的に評価し、「何を、どの順番で、どこまで対策するか」を合理的に判断する仕組みです。NISTサイバーセキュリティフレームワークの「特定(Identify)」フェーズに位置し、すべてのセキュリティ投資の意思決定の基盤となります。
本記事では、リスクアセスメントの基本概念から、中小企業が自社で実施できる具体的な手順とテンプレートまで、「これを読めば実施できる」と思える情報をまとめました。
💡 セキュリティ対策の全体像
本記事は、NISTサイバーセキュリティフレームワークに基づく対策体系の「特定(Identify)」フェーズに該当します。対策の全体像については「【サイバーセキュリティ】セキュリティ対策の全体像がわかるようになる」をご覧ください。
この記事でわかること
- リスクアセスメントとは何か、なぜ中小企業に必要なのか
- リスクを評価するための「3つの指標」
- 6つのステップで完了する実施手順
- サンプルシートを使った具体的な評価方法
- リスク対応の4つの選択肢
- 助成金・SECURITY ACTIONとの関係
1. リスクアセスメントとは何か ― 「不安」を「数字」に変える作業
そもそもリスクアセスメントとは?
リスクアセスメントとは、自社の情報資産に対して「どんな脅威があり、その脅威が実現した場合にどの程度の影響があるか」を体系的に評価する作業です。
多くの経営者が感じている「うちのセキュリティは大丈夫だろうか」という漠然とした不安を、「この情報資産に対するこのリスクは高い/中程度/低い」という具体的な判断に変換するのがリスクアセスメントの役割です。
たとえるなら、健康診断に似ています。「なんとなく体調が悪い気がする」という状態では適切な治療ができませんが、血液検査の数値を見れば「コレステロールが高いから食事改善を優先すべき」という判断ができます。リスクアセスメントは、会社のセキュリティにおける「健康診断」です。
リスクの構成要素
リスクは以下の3つの要素で構成されます。
| 要素 | 意味 | 例 |
|---|---|---|
| 脅威(Threat) | 情報資産に損害を与える可能性のある事象 | ランサムウェア攻撃、内部不正、自然災害 |
| 脆弱性(Vulnerability) | 脅威が付け入る弱点 | パッチ未適用、弱いパスワード、教育不足 |
| 影響度(Impact) | 脅威が実現した場合の被害の大きさ | 事業停止、損害賠償、信用失墜 |
リスクの大きさは、簡潔に表すと以下の式で計算できます。
リスク = 脅威の発生可能性 × 影響度
脅威の発生可能性が高く、影響度も大きいものが「最も対策すべきリスク」です。
2. なぜ中小企業にリスクアセスメントが必要なのか
「とりあえずUTMを入れておけばいい」の問題
セキュリティ対策を「なんとなく」で進めると、以下のような問題が発生します。
- 過剰投資: 自社にとって重要度の低いリスクに対して高額な対策を導入してしまう
- 過小投資: 本当に危険なリスクに対して十分な対策を講じていない
- 偏った投資: ネットワーク対策ばかりに注力し、人的対策(教育・規程)が手薄になる
リスクアセスメントを実施すれば、「自社にとって最もインパクトの大きいリスクから順に対策する」という合理的な投資判断ができます。
リスクアセスメントが必要な3つの理由
① 経営層への説得材料になる
「セキュリティ対策に300万円かかります」と言われても、経営層は「本当に必要なのか」と判断できません。しかし「リスクアセスメントの結果、顧客データへのランサムウェアリスクが最も高く、被害想定額は5,000万円。EDR導入による年間300万円の投資でリスクを大幅に低減できます」と説明すれば、投資対効果が明確になります。
② SECURITY ACTION二つ星の実質的な要件
SECURITY ACTION二つ星の取得には「情報セキュリティ自社診断」の実施が求められます。この自社診断は、簡易的なリスクアセスメントそのものです。リスクアセスメントの実施方法を理解しておけば、二つ星取得もスムーズに進みます。
③ インシデント発生時の「判断基準」になる
セキュリティインシデントが発生した際、「何を最優先で守るか」「どの順番で復旧するか」を判断する基準が必要です。リスクアセスメントで事前に優先順位を決めておけば、パニック状態の中でも合理的な判断ができます。
3. リスクを評価する3つの指標
リスクアセスメントでは、各リスクを以下の3つの指標で評価します。
指標①:脅威の発生可能性
「この脅威が実際に起きる確率はどの程度か」を評価します。
| レベル | 基準 | 点数 |
|---|---|---|
| 高 | 過去に自社または同業他社で発生実績がある。攻撃トレンドの上位にある | 3 |
| 中 | 発生する可能性は否定できない。業界全体でリスクが指摘されている | 2 |
| 低 | 発生可能性は低い。特殊な条件が揃わないと起きにくい | 1 |
指標②:脆弱性の程度
「この脅威に対して、自社の対策がどの程度不十分か」を評価します。
| レベル | 基準 | 点数 |
|---|---|---|
| 高 | ほとんど対策が講じられていない | 3 |
| 中 | 一部対策はあるが、十分ではない | 2 |
| 低 | 適切な対策が講じられている | 1 |
指標③:影響度
「この脅威が実現した場合、事業にどの程度の影響があるか」を評価します。
| レベル | 基準 | 点数 |
|---|---|---|
| 高 | 事業の存続に影響する。長期間の業務停止、大規模な損害賠償 | 3 |
| 中 | 業務に大きな支障が出る。一定期間の業務停止、信用低下 | 2 |
| 低 | 影響は限定的。短期間で復旧可能 | 1 |
リスク値の算出
リスク値 = 発生可能性 × 脆弱性 × 影響度
| リスク値 | リスクレベル | 対応方針 |
|---|---|---|
| 18~27 | 最高リスク | 最優先で対策を実施する |
| 8~17 | 高リスク | 早期に対策を実施する |
| 4~7 | 中リスク | 計画的に対策を検討する |
| 1~3 | 低リスク | 現状を監視し、必要に応じて対策する |
4. リスクアセスメントの実施手順 ― 6つのステップ
ステップ1:情報資産の特定(前提作業)
リスクアセスメントを始める前に、情報資産管理台帳が必要です。まだ作成していない場合は、先にそちらを整備してください。
情報資産管理台帳から、重要度A・Bの資産を中心にリスクアセスメントの対象とします。重要度Cの資産は、最初の段階では省略しても構いません。
ステップ2:脅威の洗い出し
各情報資産に対して、想定される脅威をリストアップします。以下は中小企業が一般的に直面する主な脅威です。
| 脅威カテゴリ | 具体的な脅威 |
|---|---|
| 外部攻撃 | ランサムウェア、標的型攻撃メール、フィッシング、DDoS攻撃 |
| 内部不正 | 従業員による情報持ち出し、退職者のアカウント悪用 |
| 人的ミス | メール誤送信、USBメモリの紛失、設定ミス |
| システム障害 | サーバー故障、ソフトウェアバグ、クラウドサービスの停止 |
| 自然災害 | 地震、台風、洪水による機器損壊 |
| サプライチェーン | 取引先経由の攻撃、委託先での情報漏えい |
ステップ3:脆弱性の特定
各脅威に対して、自社の現在の対策状況(脆弱性)を評価します。
チェックのポイント:
- ウイルス対策ソフトは全PCに導入されているか
- OSやソフトウェアのアップデートは定期的に行われているか
- パスワードポリシーは設定されているか(文字数・複雑性)
- バックアップは定期的に取得されているか
- 従業員へのセキュリティ教育は実施されているか
- アクセス権限は適切に設定されているか
- ログの取得・監視は行われているか
ステップ4:リスク値の算出
ステップ2・3の結果を踏まえて、各リスクの「発生可能性」「脆弱性」「影響度」を3段階で評価し、リスク値を算出します。
【サンプル】リスクアセスメントシート
| No. | 対象資産 | 脅威 | 発生可能性 | 脆弱性 | 影響度 | リスク値 | リスクレベル | 対応方針 |
|---|---|---|---|---|---|---|---|---|
| 1 | 顧客マスタデータ | ランサムウェアによる暗号化 | 3 | 3 | 3 | 27 | 最高 | 最優先対策(EDR導入、バックアップ強化) |
| 2 | 顧客マスタデータ | 標的型攻撃メールによる漏えい | 3 | 2 | 3 | 18 | 最高 | 最優先対策(メールフィルタリング、従業員教育) |
| 3 | 従業員個人情報 | 内部不正による持ち出し | 2 | 3 | 3 | 18 | 最高 | 最優先対策(アクセス制限、ログ監視) |
| 4 | 財務データ | 不正アクセスによる改ざん | 2 | 2 | 3 | 12 | 高 | 早期対策(MFA導入、権限見直し) |
| 5 | 製品設計図 | USBメモリ経由での流出 | 2 | 3 | 2 | 12 | 高 | 早期対策(USBポート制限、MDM導入) |
| 6 | 取引先契約書 | メール誤送信 | 2 | 2 | 2 | 8 | 高 | 早期対策(メール誤送信防止ツール) |
| 7 | 日次売上データ | サーバー故障 | 2 | 2 | 2 | 8 | 高 | 早期対策(バックアップ体制の整備) |
| 8 | 社内規程文書 | ランサムウェアによる暗号化 | 3 | 2 | 1 | 6 | 中 | 計画的対策(クラウドバックアップ) |
| 9 | Webサイト | DDoS攻撃 | 1 | 2 | 1 | 2 | 低 | 監視継続 |
| 10 | 名刺データ | 紛失 | 1 | 2 | 1 | 2 | 低 | 監視継続 |
ステップ5:リスク対応方針の決定
リスクアセスメントの結果を踏まえて、各リスクへの対応方針を決定します。リスクへの対応には4つの選択肢があります。
| 対応方針 | 内容 | 適用場面 |
|---|---|---|
| リスク低減 | 対策を実施してリスクを許容範囲まで下げる | リスクが高く、現実的な対策が存在する場合 |
| リスク回避 | リスクの原因となる業務やシステムをやめる | リスクが極めて高く、対策コストが見合わない場合 |
| リスク移転 | 保険やアウトソーシングでリスクを第三者に移す | 自社で対応しきれないリスク |
| リスク受容 | 対策せず、リスクを受け入れる | リスクが低く、対策コストの方が高い場合 |
中小企業の場合、ほとんどのリスクは「リスク低減」の対象になります。すべてのリスクをゼロにすることは不可能ですので、許容可能なレベルまでリスクを下げることを目指します。
リスク受容の注意点: 「予算がないからリスク受容」は避けてください。リスク受容は「リスクを理解した上で、合理的な理由をもって対策しないと決める」ことであり、「お金がないから放置する」こととは根本的に異なります。リスク受容する場合は、必ず経営層の承認を得て記録に残してください。
ステップ6:対策計画の策定と実行
リスクレベルの高い順に、具体的な対策を計画します。
対策計画のテンプレート:
| 優先度 | リスク | 対策内容 | 担当者 | 期限 | 概算費用 | 備考 |
|---|---|---|---|---|---|---|
| 1 | ランサムウェアによる顧客データ暗号化 | EDR導入+バックアップ強化 | 情シス担当 | 2026年9月 | 年50万円 | 助成金活用を検討 |
| 2 | 標的型攻撃メールによる顧客データ漏えい | UTM導入+従業員教育 | 情シス担当+総務 | 2026年10月 | 年30万円 | 教育は四半期ごと |
| 3 | 内部不正による従業員情報持ち出し | アクセス権限の見直し+ログ監視 | 総務部 | 2026年8月 | 0円(運用改善) | 退職者アカウント即時無効化を徹底 |
| 4 | 財務データへの不正アクセス | MFA導入 | 経理+情シス | 2026年9月 | 0円(Microsoft 365標準機能) | 全アカウントに適用 |
5. 中小企業がリスクアセスメントで陥りやすい失敗パターン
失敗①:「全部リスクが高い」と評価してしまう
リスクに不慣れな担当者がアセスメントを行うと、「すべてのリスクが高」になりがちです。すべてが最優先では、優先順位付けの意味がありません。
対処法: 評価は相対的に行う。「自社にとって最も影響が大きいリスクはどれか?」を基準に、まず「最高リスク」を3~5件に絞り、そこから逆算して他のリスクを評価する。
失敗②:「一度やって終わり」にしてしまう
ビジネス環境や脅威の状況は常に変化しています。新しいクラウドサービスの導入、テレワークの拡大、新種のランサムウェアの出現など、リスクの前提が変わればアセスメントの結果も変わります。
対処法: 年1回の定期見直しと、重大な変化があった際の臨時見直しをルール化する。見直しのタイミングをカレンダーに登録しておく。
失敗③:「IT部門だけで完結」してしまう
リスクアセスメントは全社的な取り組みです。営業部門には顧客データのリスク、経理部門には財務データのリスク、人事部門には個人情報のリスクがあります。IT部門だけで評価すると、業務上のリスクを見落とします。
対処法: 各部門の責任者を巻き込み、部門ごとにリスクを洗い出すプロセスを設ける。IT部門は全体のとりまとめと技術的なアドバイスに徹する。
失敗④:「評価基準が人によってバラバラ」
「発生可能性=高」の基準が人によって違うと、リスク値の比較ができません。
対処法: 事前に評価基準を明文化し、全評価者で共有する。本記事の3段階評価基準をそのまま使っていただいても構いません。
失敗⑤:「対策の実行につながらない」
リスクアセスメントを実施しても、結果が報告書のまま放置されては意味がありません。
対処法: リスクアセスメントの結果を経営会議で報告し、対策計画の承認と予算確保を同時に行う。「リスクアセスメント→対策計画→予算承認」をセットで進めることが重要です。
6. リスクアセスメントの結果を活かす ― 対策体系への接続
「特定」フェーズから「防御」「検知」「対応」「復旧」へ
リスクアセスメントで明確になった優先リスクに対して、NISTフレームワークの各フェーズで対策を講じます。
| リスクアセスメントの結果 | 対応する対策(例) | CSFフェーズ |
|---|---|---|
| ランサムウェアリスクが最高 | EDR導入、バックアップ強化 | 検知・復旧 |
| 標的型メールリスクが高 | UTM導入、従業員教育 | 防御 |
| 内部不正リスクが高 | アクセス権限見直し、ログ監視 | 防御・検知 |
| サーバー故障リスクが中 | イミュータブルバックアップ導入 | 復旧 |
このように、リスクアセスメントの結果はセキュリティ投資の「設計図」になります。
セキュリティ予算の根拠になる
「なぜこの対策が必要なのか」「なぜこの順番なのか」という経営層からの質問に対して、リスクアセスメントの結果は最も説得力のある回答になります。
7. 助成金・SECURITY ACTIONとの関係
SECURITY ACTION二つ星との接続
SECURITY ACTION二つ星の取得要件である「情報セキュリティ自社診断」は、簡易的なリスクアセスメントに相当します。本記事で紹介した手法でリスクアセスメントを実施すれば、二つ星取得に必要な要件を自然にクリアできます。
東京都サイバーセキュリティ対策促進助成金への接続
リスクアセスメントの結果は、助成金申請書の「事業の必要性」を説明する根拠として活用できます。「リスクアセスメントの結果、○○のリスクが最も高いことが判明したため、EDRの導入が必要」という論理的な説明は、審査において大きなプラスになります。
| 項目 | 内容 |
|---|---|
| 助成率 | 対象経費の1/2 |
| 上限額 | 500万円 |
| 対象要件 | SECURITY ACTION 二つ星を宣言済みの都内中小企業 |
8. よくある質問(Q&A)
Q1. リスクアセスメントは何日くらいかかりますか?
A. 従業員30名規模の中小企業であれば、2~3週間が目安です。情報資産管理台帳が既にあれば、1~2週間で完了できます。各部門へのヒアリングに1週間、評価・とりまとめに1週間という配分が一般的です。
Q2. 専門知識がなくても実施できますか?
A. 本記事で紹介した3段階評価法は、専門知識がなくても実施できるように設計されています。ただし、脅威の洗い出しや脆弱性の評価で迷う場合は、外部の専門家に支援を依頼することをお勧めします。
Q3. リスクアセスメントのツールは必要ですか?
A. 中小企業であれば、ExcelまたはGoogleスプレッドシートで十分です。本記事のサンプルシートをそのまま使っていただいて構いません。専用のリスクアセスメントツールは大企業向けのものが多く、中小企業には過剰です。
Q4. リスクアセスメントの結果は公開する必要がありますか?
A. いいえ、社外に公開する必要はありません。リスクアセスメントの結果は自社の脆弱性を含む機密情報です。社内でも「需要を知る必要のある人」に限定して共有してください。
Q5. 「リスク受容」はどんな場合に選択すべきですか?
A. リスクが低く、対策コストの方が被害想定額を上回る場合です。たとえば「社内の議事録データに対する自然災害リスク」は、被害があっても事業への影響が軽微であり、特別な対策をしなくても合理的です。ただし、リスク受容の判断は必ず経営層が行い、記録を残してください。
Q6. 情報資産管理台帳がまだありません。同時並行で進められますか?
A. 同時並行で進めることは可能ですが、情報資産管理台帳を先に作成する方が効率的です。「何を守るか」が決まっていない状態でリスクを評価しても、抜け漏れが生じます。まずは主要な情報資産(20~30件)を洗い出してから、リスクアセスメントに着手することをお勧めします。
Q7. リスクアセスメントと「情報セキュリティ自社診断」は同じものですか?
A. 完全に同じではありませんが、目的は共通しています。IPAの「情報セキュリティ自社診断」は25項目のチェックリスト形式であり、リスクアセスメントの簡易版と位置づけられます。本記事で紹介するリスクアセスメントは、自社診断よりも詳細に、情報資産ごとのリスクを個別に評価するものです。
まとめ:リスクアセスメントは「セキュリティ投資の羅針盤」
リスクアセスメントは、限られた予算の中で最も効果的なセキュリティ対策を選択するための「羅針盤」です。
本記事のポイントを整理します。
- リスク = 発生可能性 × 脆弱性 × 影響度 で数値化する
- 3つの指標を3段階(高・中・低)で評価し、リスク値を算出する
- 6つのステップ(資産特定→脅威洗い出し→脆弱性特定→リスク値算出→対応方針決定→対策計画策定)で実施する
- リスク対応には4つの選択肢(低減・回避・移転・受容)がある
- リスクアセスメントの結果はセキュリティ投資の予算根拠と助成金申請の説明材料になる
「何から始めればいいかわからない」なら、まずはご相談ください。
アクセルパートナーズでは、リスクアセスメントの実施支援から、SECURITY ACTION二つ星の取得、助成金を活用したセキュリティ機器の導入までワンストップで対応しています。
- ルール整備・SECURITY ACTION取得 → サイバーセキュリティ やり切りパック
- セキュリティ機器の導入(助成金活用) → 東京都サイバーセキュリティ対策促進助成金 申請サポート
初回相談(60分・Zoom)は無料です。「自社のリスクはどこにあるのか」を一緒に洗い出すところから始めましょう。
お問い合わせ:0120-659-057(平日 9:30~18:00)
編集:アクセルパートナーズ
出典・参考資料:
- IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版」
- NIST「Cybersecurity Framework 2.0」
- 警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」
- IPA「情報セキュリティ10大脅威 2025」
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
