近年情報セキュリティの重要性が認識され,情報セキュリティを組織的にかつ継続的に維持するための情報セキュリティマネジメントシステム(Information Security Management System, 以下ISMS)の構築・運用が重要視されるようなった.山口大学メディア基盤センターでも平成18年度から本格的な構築作業に取りかかった.ISMSを構築する上で最も工数のかかる作業の一つが資産のリスクアセスメントであるが,本センターにおける構築では,関係スタッフの教育レベルや経験にばらつきがあり,一般的なリスクアセスメントの概念や脅威・脆弱性の例を説明しただけは,どのような脅威や脆弱性を考えたらら良いかの判定ができず,リスクアセスメント作業が進まないという問題が発生した.そこで,本研究では特に初期段階のリスクアセスメントプロセスを効率よく進めるための手法を提案し,また,この手法を実際のISMS構築に適用した結果について報告を行う.本手法では,まず各資産管理者が適用済み対策と懸念事項を書き下し,次に構築担当者が機械的な置き換えを行う.最後に再度資産管理者と構築担当者で話し合いながら脆弱性識別とリスク値の評価を進める,この手法に従ってリスクアセスメントを進めた結果,約4ヶ月で完了することができたため,大学の情報処理センターのように,人数に比して資産が多く,また,スタッフが多忙でインタビューに時間をかける余裕が無いケースでは有効であると考えられる.
