ポイント

●リスク対応とは,リスク・アセスメントの結果を基に対策を選択することである。対策には「適切な管理策の適用」「リスク受容」「リスク回避」「リスク移転」の4種類がある。
●セキュリティ・ポリシーとは,組織の情報セキュリティに関する文書のことである。大きく分けると「基本方針」「対策基準」「実施手順」がある。
●いくら立派なマネジメント計画が立案されても,それだけでは組織の情報セキュリティは確保できない。計画を実行するために予算を計上し,経営陣の承認を得ることが必須となる。

※これらは規約で定義されている文言とは異なります

 前編では,情報セキュリティ・マネジメントの実施手順であるPDCAサイクルの概要と,詳細リスク分析について勉強しました。今回はその続きです。情報セキュリティ・マネジメントを実施する上でのポイントを確認していきます。

リスク対応とは

 リスク対応とは,リスク・アセスメントの結果を基に,対策を選択することです。リスク・アセスメントとは,リスクを分析・評価することです(前編参照)。リスク対応は,リスク・アセスメントの結果を考慮して実施します。リスク対応の選択肢としては以下の4種類あり,これらの中から適切なものを選択します(図1)。

図1●リスク対応の種類
図1●リスク対応の種類

(1)適切な管理策の適用
 リスク・アセスメントの結果,リスク対応が必要であると判定した部分に関しては,適切な管理策を適用することによってリスクの発生を低減させます。ほとんどのリスクに対しては,この選択肢が選ばれます。

(2)リスク受容
 リスクに対しての対策(管理策)を導入することにより,リスクの発生を低減できますが,対応するためのコストが必要となるうえ,(一般に)利便性が損なわれる傾向にあります。また,どんなに管理策を適用しても,情報資産を保持している以上はリスクを0にすることはできません。そこで,リスク・アセスメントの結果を基に,ある程度のところでしきい値を設けて,それ以上のリスクは意識的(能動的)に受け入れます。これがリスクの受容です。

 例えば,サーバー上にある秘密情報のセキュリティを考えてみましょう。外部からの攻撃は,ファイアウォールで阻止することにします。しかし,内部からの攻撃も考えられます。そこで,検疫ネットワークを導入してさらなるリスクを低減します。

 しかし,それでもサーバー管理者の不正というリスクが残っています。ここで,サーバー管理者の不正を防ぐために次の策を導入すると,コストが増大する上,運用上の利便性が損なわれてしまいます。そこでサーバー管理者に関しては不正が無いものとするというように線引きをします。つまりこの例だと,「サーバー管理者の不正の可能性」を受け入れることになります。これがリスク受容のイメージです。

 ほかに,リスクは考えられるものの発生の可能性が著しく小さく,意識的に策を講じないというようなケースも,リスクの受容にあたります。

(3)リスク回避
 リスク回避は,業務を停止,あるいは情報資産を廃棄するなどして,リスクそのものを回避する方策です。例えば,組織で管理している顧客情報が漏洩したら大変です。そこで,利用しない顧客情報に関しては,適切に廃棄します。これで破棄した部分に関してはリスクそのものを回避できます。もちろん,業務運用上必要な情報は保持しておく必要がありますので,全てのケースにおいて適用できるわけではありません。

(4)リスク移転
 自社で対応できないリスクを他者に移転するのがリスク移転です。セキュリティを確保したくても,自社内で専門知識を持った担当者がいない場合は,その部分に関してのプロフェッショナルに外部委託(アウトソーシング)することがあります。また,地震や火災などを起因とする,避けることができないリスクに対しては,保険をかけておくこと(リスクファイナンス)も選択肢の一つとなります。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら