リスクにはどのように対応する?
ITセキュリティの対策を考えるにあたっては、セキュリティリスク(危険性)とはどのようなことで、それらに対してはどのように対応していくべきかを考える必要があります。
リスクとは下記のように定義されますが、具体例としては、個人情報を漏洩させないように、不正アクセス対策をしていたが、それが不十分だったために個人情報漏洩の発生するような危険性のことです。まずは、次のリスクアセスメントという手法によって、そのようなリスクを洗い出して、評価をすることになります。
- リスク:脅威(ある要因)が情報資産の脆弱性を利用して、情報資産への損失または損害を与える可能性のこと
- リスクアセスメント:リスクがどこに、どのように潜在しているかを特定して、その影響の大きさを分析し評価して、優先順位を付ける。
そして、評価をしたそれぞれのリスクについて、次のいずれかの対応をとることになります。
| リスク保有(受容) | 影響度が小さい場合はリスク発生を受け入れる | 対応なし |
| リスク軽減(低減) | リスクの損失額や発生確率を低く抑える | 例:情報を暗号化する、入退室管理をする |
| リスク回避 | リスクの原因・要因を除去(停止)する | 例:サービスの停止、個人情報を取得しない |
| リスク移転(転嫁) | 契約などでリスクを第三者へ移転・転嫁(第三者と共有)する | 例:保険に加入、システムの外部委託 |
マイノート(これまでの私の体験・見聞から一言)
リスクへの対応については、一番初めに頭に浮かぶのがリスク軽減で、どのようなセキュリティ対策を実施するべきかを検討することかと思います。しかし、対応の仕方には、そもそもそのリスクが発生しても仕方がない、発生したらそのときに発生したことによる影響を受け入れるというリスク受容の考え方もあります。これはリスクが発生したときの費用を負担するつもりであるとも言えます。このように、受容するリスクもなく、すべてのリスクに対策をしていたら、膨大な費用が発生しますので、どこまで受容するかを決めるのは重要です。これはある意味経営的な判断にもなりますので、私自身がセキュリティ担当者だったときは、大変悩みどころでした。
また、リスク回避や移転も重要で、そもそもリスクのあることは実施しないということも大切です。私の経験では、Eコマースシステムでクレジットカード決済をするために、自社のシステムではクレジットカード情報は取り扱わずに、クレジットカード決済代行業者にシステム委託をして、リスク回避・移転をしていました。
したがって、まずはそれぞれのリスクに対して、自分たちにとってどのように影響があるかを考えるということは大切ですね。
