企業におけるリスクマネジメント|セキュリティ|ブログ|Computerworld

読者の皆様、お待たせしました。

GoGoカレーを平らげた蔵本です。
本日は、リスクマネジメントについてお話します。

企業におけるセキュリティリスクの低減はリスクマネジメントの観点からも考慮していく必要があります。それでは、リスクコントロール策について、主にどんなものがあるのかを下記に解説していきます。また、下記は項目を６つに分類して解説していますが、【リスクの回避】【リスクの低減】【リスク移転】【リスクの保有 (受容)】の4つに分類している場合もあり、多様な解釈が存在しているので、下記はその一例とお考えください。

【リスクの回避】
リスクを回避する手段の代表は、保護対象を持たない事です。守るものがなけれは、リスクが顕在化する事もありません。例えば、コンピュータに起因するリスクは、コンピュータを持っていなければ考慮する必要がないと思えば理解が早いかと思います。また、ネットワークに起因するリスクはネットワークから遮断する事でリスクを回避する事ができます。ただし、同時に回避したプロセスからは、収益が無くなる事も考慮しなければなりません。個人情報で考えると、個人情報を全く持たない事で(ほぼ不可能ですが)個人情報漏えいリスクはなくなりますが、個人情報を利用したマーケティングも顧客へのリーチもできなくなります。

【リスクの低減】
リスクが顕在化する確率自体を下げるための活動です。この項目と次項の【リスクの軽減】は、細かく分けずに、ウイルス対策や暗号化等、いわゆるセキュリティ対策として、一緒に考える方が理解しやすいかと思います。

【リスクの軽減】
リスクが顕在化した際のダメージを軽減するための活動です。

【リスクの分散】
物理的な資産で考えた場合は、保護資産を複数個持つ事で、それぞれにリスクを分散させる方法が考えられます。ハードウェア障害やディザスタ対策のためのシステム冗長化はリスク分散の代表と言えます。また、自社にとって脆弱性の要因を分散する事でリスク分散とする事もあります。例えば、複数社のウイルス対策ソフトを導入する事で、ウイルス対策ベンダーの定義ファイル対応漏れや対応の遅延といったリスクを分散するケースもあります。

【リスクの移転】
他組織にリスクを移転させる方法です。いわゆる保険と考えれば理解しやすいかと思います。保険の場合は、保険会社へリスク移転する形になります。近年では、個人情報漏洩の保険等もありますが、リスク移転の代表と言えます。

【リスクの受容】
文字通り、リスクを受容します。費用対効果のバランスがとれない場合やその他のリスクコントロール策を実施した後の残存リスクを受容するケースが一般的です。

下記は監査時によくある一幕です。

監査側 筆者
「こういったリスクの顕在化について想定されていますか？」

被監査側 リーダー福原さん
「あ、当たり前ですやん！」

監査側 筆者
「対策されていないように見受けられますが、なぜでしょうか？リスクを受容したという事ですか？」

被監査側 リーダー福原さん
「あ、そう、それ！受容しましてん！」

監査側 筆者
「しかし、このリスクはかなり顕在化しやすいと思いますよ。。。」

被監査側 サブリーダー 青木さん
「そんなリスク棚卸の時に出てませんでしたって！絶対気づいてへんだけですて！」

リスクマネジメントのお話は、理解が難しい部分がありますので、次回は一般生活に紐付いた事例ベースでご紹介し、皆様により理解を深めて頂きたいと思います。

今回は、珍しく新宿オフィスからお届けしました。

※登場人物は全て架空の人物です。