リスクとは
リスク=脅威 × 脆弱性 × 資産価値
リスクは脅威と脆弱性から発生するが、その危険度は個別のリスクによって変化する。危険度の高いリスクには、重点的に経営資源を投入し、危険度の低いリスクにはあまり経営資源を配分しないなど、メリハリのある投資を行うことで、効率的なセキュリティ管理を行うことができる。
リスクの危険度は次の3要素によって求めることができる。
発生頻度
一般的に発生確率が高いほどリスクが大きいといえる。要因が同じリスクが週に1回発生するのと、年に1回発生するのとでは前者の方が高リスクである。
予想被害額
データの入力ミス、情報の漏えい、不審者の侵入などのインシデントによって生じる被害額である。 発生頻度よりも具体的な数値が出しにくいため、ある程度定性的な評価がまざる。たとえば、データの喪失をどのくらいの被害額とするかは、評価者の主観で変わってくる。
発生から導かれる結果
インシデントによって引き起こされる2次的な被害を指す。往々にして2次被害の方が損害額が大きい場合がある。例えば、直接のインシデントが情報漏えいである場合、直接的には損害賠償などのコストがかかるが、それによって生じる企業ブランドの失墜など間接的な被害額の方が大きくなりがちである。
リスクマネジメントの体系
リスクマネジメントは、主にリスクの評価を行うリスクアセスメントと、リスクアセスメントによって評価されたリスクに対してどのような対策を講じるかを決めるリスク対応によって構成される。
リスクマネジメントプロセス
1. 適用範囲、文脈及び基準 (Scope, Context and Criteria)
プロセスを開始する前の準備段階である。
- 適用範囲: リスクマネジメントを適用する具体的な範囲(プロジェクト、部門、全社など)を決める。
- 文脈: 組織の外部環境(政治、経済、競合)と内部環境(文化、目標、リソース)を把握する。
- 基準: どのような状態を「許容できないリスク」とするか、評価の尺度をあらかじめ設定する。
2. リスクアセスメント (Risk Assessment)
最も中核となる分析作業で、さらに3つのステップに分かれる。
- リスク特定: 何が、いつ、どこで、なぜ、どのように起こり得るかを見つけ出す。
- リスク分析: 特定したリスクの原因、影響の大きさ、発生確率を分析し、リスクのレベルを特定する。
- リスク評価: 分析結果と最初に決めた「基準」を比較し、追加の対策が必要かどうかを判断する。
3. リスク対応 (Risk Treatment)
評価の結果、許容できないと判断されたリスクに対して対策を講じる。
- リスク回避(活動の中止)
- リスク低減
- リスク移転(保険や契約など)
- リスク保有(あえて何もしない)
プロセスを支える継続的な活動
上記のステップと並行して、常に以下の活動を行う必要がある。
- コミュニケーション及び協議: 関係者(ステークホルダー)と情報を共有し、意見を取り入れる。
- モニタリング及びレビュー: リスクの状況や対策の効果を定期的にチェックし、必要に応じて修正する。
- 記録及び報告: プロセスの結果を記録し、意思決定に役立てるために適切な階層へ報告する。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント