★  ISO 27001 対応 ISMS リスクアセスメントツール

ISMSのリスクアセスメントを、
はじめての担当者でも自力で進める

ISO 27001に基づくリスクアセスメント作業をステップバイステップで支援するSaaSです。
「何から手をつければいいか分からない」状態から、ISMS審査に使える成果物まで一貫して管理。

クレジットカード不要  ·  無料プランは資産・事象それぞれ最大10件まで



こんなお悩みはありませんか?

ISMS担当者が直面しやすい課題に、Cuoreリスクアセスメントが正面から向き合います

😰

何から始めればいいかわからない

ISMS審査を来月に控えているのに、リスクアセスメントの手順がわからず手が止まっている。

📄

Excelでの管理が限界

複数人での更新が煩雑でバージョンが混乱。毎年の見直しのたびにコピー&ペーストが発生している。

🔍

抜け漏れが不安

資産・脅威・脆弱性の洗い出しが網羅できているか自信が持てない。監査で指摘されないか心配。

🔁

毎年のゼロリセットが苦痛

昨年の分析資料を引き継ぎたいが、ExcelやWordでは前回からの変更点の追跡が煩雑になる。



▌ ダッシュボード

組織のリスク全体像を、ひと目で把握

登録資産数・特定リスク数・分析完了数・許容できないリスク数をリアルタイム集計。対応が必要な高リスクはダッシュボードに自動でリストアップされます。

  • 📊 4つのKPIを常時監視
  • ⚠ 許容できないリスクを自動抽出・一覧化
  • 📋 リスク対応計画として出力可能



3つのリスク分析アプローチ

組織の状況や目的に合わせて最適なアプローチを選べます。組み合わせての利用も可能です。

📦 コンテナベース

Google DriveやAWSなど「入れ物(コンテナ)」単位でリスクを管理。コンテナ全体に共通する対策をまとめて登録できるため重複作業を大幅削減。特定の資産にだけ追加の対策を設定することも可能です。

ワークフロー
コンテナ登録 資産の洗い出し リスク特定 評価・対策

🗂 資産ベース

個別の情報資産ごとに脅威×脆弱性の組み合わせでリスクを詳細に管理。機密性(C)・完全性(I)・可用性(A)の3要素で資産の重要度を評価し、リスク値を自動算出します。

ワークフロー
資産登録・CIA評価 脅威/脆弱性特定 リスク値算出・対策

⚡ 事象ベース

「ランサムウェアに感染したら…」のように発生しうる事象(インシデント)を起点にリスクを管理。特定の資産に紐づかないクロスカット型のリスクも漏れなく捉えられます。

ワークフロー
事象カテゴリ登録 事象リスク特定 評価・対策



▌ AI支援機能

AIが対策をナビゲート、ISO管理策まで自動提案

「どの管理策に該当するか」で悩む必要なし。対策を自然言語で書くだけで、AIが対策名・カテゴリ・ISO 27001管理策番号を自動で提案します。

  • 📝 ビギナー用タブ:日本語で書くだけでAIが整理
  • 🔧 プロ用タブ:ISO番号を直接指定して入力
  • 🔗 ISO自動紐付け:監査時の根拠として活用
  • ワンクリック登録:提案内容をそのまま保存



▌ テンプレートライブラリ

IPAガイドラインの脅威・脆弱性を一括取り込み

一から洗い出す必要はありません。IPAガイドラインをベースにした脅威・脆弱性テンプレートから選んで一括登録。対策テンプレートも充実しています。

  • 🏛 IPAテンプレート:IPA公開データ準拠
  • 一括取り込み:全選択→登録でスピード入力
  • 🛡 対策テンプレート:ISO 27001管理策に紐付いた対策例
  • 取捨選択:自組織に合わないものは除外可能



▌ リスク分析ワークスペース

リスク値を一元管理

CIA・発生可能性を設定するとリスク値が自動計算。受容基準を超えたリスクは赤くハイライトされ、ダッシュボードにも表示されます。

  • 🔢 リスク値自動算出:CIAと発生可能性で計算
  • 🎨 カラーコード:高・中・低を色分け表示
  • 📌 対策:対策と対応するISO管理策をAIが自動選択
  • 📤 対応計画出力:審査用にリスク対応計画を表示



毎年の更新を、わずか数分で

「年次ロールオーバー」機能で前回の分析を丸ごと引き継ぎ。変更点だけ修正すれば完了。分析履歴はすべてPDCAの証跡として残ります。

2024
第1回
初回分析
資産・脅威・脆弱性を
新規登録
ロール
オーバー
2025
第2回
差分更新
変更・追加分のみ
修正して完了
ロール
オーバー
2026
第3回
継続改善
PDCAの証跡が
自動的に積み上がる

前回分析を丸ごと引き継ぎ

対策の進捗・残留リスク値・コメントをそのまま引き継ぎ。ゼロから作り直す必要がありません。

📚

分析履歴が証跡になる

過去の分析はすべて保存・参照可能。ISMSのPDCA証跡として監査員に提示できます。

🔍

前回との差分を追跡

リスク値の増減・新規追加・対策の完了状況など、前年度からの変化が一目でわかります。



セキュリティと信頼性

ISMSのツール自身が堅牢なセキュリティで守られています

🔐

2段階認証(MFA)

Google AuthenticatorなどのTOTPアプリによるMFAに対応。管理者(オーナー)は全メンバーへのMFA強制設定も可能です。

🏢

テナント完全分離(RLS)

PostgreSQLのRow Level Security(RLS)により組織間のデータを完全分離。他組織のデータが見える可能性はありません。

💾

データバックアップ・復元

全データをJSONとして随時エクスポート。審査前の証跡保全や万一の際の完全復元に対応。全消去前には自動バックアップも取得します。



4ステップで審査に備える

作業の順番に迷わないように、システムが次のアクションを能動的に案内します

1

資産の特定

コンテナ単位で情報資産をリストアップし、機密性(C)・完全性(I)・可用性(A)で重要度を評価。テンプレートまたはAI提案で素早く洗い出せます。

2

リスクの特定

脅威と脆弱性の組み合わせでリスクを特定。IPAテンプレートから一括取り込みも可能です。

3

リスクの評価

リスク値を自動算出し、組織の受容基準と照合。許容できないリスクをダッシュボードに自動表示。

4

リスク対応

低減・回避・移転・保有の4方針で対策を策定。AIが候補を提案し、ISO管理策との対応も自動化。



シンプルな料金プラン

まず無料で試して、組織の規模が拡大したらアップグレード

フリー

¥0

/月(無料)

  • ✅ 資産 最大10件まで
  • ✅ 事象 最大10件まで
  • ✅ 脅威・脆弱性管理
  • ✅ リスク評価・対策登録
  • ✅ AI支援機能
  • ✅ テンプレートライブラリ
  • ✅ データバックアップ
  • ❌ メンバー招待

ベーシック  ✨ おすすめ

¥500

/月(税込)

追加メンバー 各 +¥500/月

  • ✅ 資産・事象 登録件数無制限
  • ✅ 複数メンバーの招待・管理
  • ✅ フリープランの全機能
  • ✅ 年次ロールオーバー
  • ✅ 今後追加の有料機能

クレジットカードなしで登録可能。いつでもキャンセルできます。



よくある質問

その他ご不明な点はお問い合わせください

ISMS初心者でも使えますか?

はい、初心者の方を主要ターゲットに設計しています。コンテナ登録からリスク評価・対策登録まで、システムが次にやるべき作業を能動的に案内します。脅威・脆弱性・対策のIPAテンプレートを用意しているので「何を入力すればいいかわからない」という状態からでもスタートできます。AI支援機能のビギナー用タブも、自然言語で入力するだけでISO管理策まで自動提案するので専門知識は不要です。

リスク値はどのように計算されますか?

リスク値は「情報資産の価値 × 発生可能性」で計算されます。情報資産の価値は機密性(C)・完全性(I)・可用性(A)の評価値から算出され、発生可能性は脅威レベルと脆弱性レベルの組み合わせで決まります。計算式(CIA平均値 or CIA最大値)やリスクを「許容できない」と判定するしきい値は「設定」ページで組織に合わせてカスタマイズできます。

コンテナベースと資産ベース、どちらを使えばいいですか?

「Google Drive上の全資産への不正アクセス対策」のようにコンテナ全体に共通する対策はコンテナベースが効率的です。一方、特定のサーバーや重要なアカウントだけに追加の対策が必要な場合は資産ベースで管理します。両アプローチを組み合わせることで、重複を省きながら漏れのないリスク管理が実現できます。

テンプレートは何種類ありますか?

資産の置き場所となるコンテナテンプレート、IPAのガイドラインをベースにした脅威、脆弱性、対策テンプレートをそれぞれ用意しており、必要な項目を選択して取り込むか、一括取り込みが可能です。対策テンプレートも、ISO 27001の主要な管理策に対応した内容を用意しています。取り込み後は自組織に合わせて自由に選択できます。

年次のリスクアセスメント更新はどうするの?

「ロールオーバー」機能を使います。前回の分析結果(対策進捗・残留リスク値)を引き継いで新しい分析を作成できるため、変更点だけ修正すれば年次更新が完了します。過去の分析履歴は蓄積されるため、ISMSのPDCA証跡として監査にそのまま提出できます。

メンバー招待・チーム機能について教えてください

ベーシックプランでは、組織オーナーが他のメンバーをメールアドレスで招待できます。追加メンバー1名につき月額¥500の追加料金が発生します。MFAの強制設定もオーナーが管理できるため、組織全体のセキュリティポリシーを統一できます。

FreeプランとBasicプランの違いは何ですか?

主な違いは①登録件数の上限(Freeは資産・事象それぞれ最大10件、Basicは無制限)と②チームメンバーの招待機能(Basic限定、追加1名ごと月額¥500)です。リスク評価・対策管理・テンプレート・AI機能・データバックアップなどはすべてのプランでご利用いただけます。

データのエクスポートや移行はできますか?

はい。組織の全データをCSV形式でエクスポートできます。ローカルへのバックアップ保存や将来的なデータ移行にも対応。ISMS審査の証跡としてリスク対応計画を一覧形式で出力する機能も備えています。

セキュリティ対策はどうなっていますか?

Google AuthenticatorなどのTOTPアプリによるMFAに対応。管理者(オーナー)は全メンバーへのMFA強制設定も可能です。データはSupabase(PostgreSQL)で管理され、Row Level Security(RLS)により組織間のデータを完全分離。通信はすべてHTTPS暗号化されています。



今日からリスクアセスメントを始めましょう

無料プランはクレジットカード不要。今すぐアカウントを作成して、ISMSのリスク管理を始めましょう。