リスクは小さいに越したことはない【リスクマネジメント】

リスクを小さく


リスクとは、組織の情報セキュリティの脆弱性を突く脅威によって損失を被る可能性のことです。

情報セキュリティを高めるということはリスクをできる限り小さくすることでもあります。ただ、そのためには「そもそもどのようなリスクがあるのか」「そのリスクの対策をどうすればいいのか」といったことを明らかにすることが必要です。

そのようにリスクを具体化対策を講じていくことではじめてリスクマネジメントになり得るのです。この記事では情報セキュリティリスクマネジメントについてまとめていきます。

リスクアセスメント


保有する情報資産に対するリスクを分析し、リスク受容基準と照らしてどのように対応していくかを判断すること、これがリスクアセスメント(リスクについて調査すること)です。

リスク受容基準とは、自社が取り扱う情報資産について「どの程度のリスクなら受け入れることができて、どこのラインから対策を講じていくか」を判断するための基準のことです。


リスクアセスメントは以下の3つの段階を経て実施していきます。

リスク特定


組織に存在する情報セキュリティ上のリスクそのものを明確にすることをリスク特定といいます。「いったい何がリスクになり得るか」をここで明らかにするわけです。

リスク分析


特定したリスクの発生確率や与え得る影響度から、そのリスクの大きさの程度(リスクレベル)を割り出すことがリスク分析です。

リスクレベルは情報資産の価値や脅威の大きさ、脆弱性の種類とその影響の大きさ等によって割り出されます。

リスク評価


リスクレベルとリスクをどの程度受け入れられるかの基準を比較して、リスク対策が本当に必要かそうでないかを判断することがリスク評価です。リスクレベルに応じて対応の優先順位をつけます。

リスク対応


リスク対応とは、先に行うリスク評価を前提として対応策を選択し、実際にリスクの対応をしていくことです。

リスク対応にも区分があり、リスクの発生確率やリスクレベルを小さくする方法(リスクコントロール)と、リスクによる損失を金銭的に補填する方法(リスクファイナンシング)とに大別されます。

リスクコントロール


リスクコントロールには、主に以下の2つがあります。

リスク軽減


リスク軽減とは、リスクの発生確率を低く抑えることです。リスク発生確率を抑えることによってリスクレベルを下げることになりますし、これが経済的な損失を小さくすることにも繋がるわけです。

そのためには情報資産の管理とその体制を作り上げること、人的・技術的脅威の発生確率を抑えることが必要となります。

脅威の種類についてはこちらを参照してみてください。

リスク回避


リスク回避とは、リスクの原因そのものを除去することです。これによりその時に存在するリスクが消滅するわけです。

たとえば、長期間赤字の状態が続き、この先も採算をとることができる見込みのない事業からの撤退などが挙げられます。これはちょうど「続けることによる損害」をなくすための対策だといえます。

一時的であれ永久的であれ、時には撤退してやめてしまうことも必要なのです。これは事業だけでなく実生活でも同じことがいえますから、わたしたちにも通じることでしょう。

リスクファイナンシング


リスクファイナンシングには、主に以下の2つがあります。

リスク移転(リスク共有)


リスクを第三者へ移転または転嫁(第三者と共有)する方法もあります。これがリスク移転リスク共有)です。

問題が発生した時の損害に備え、保険に加入しておくことが主な例で、保険料を課金することでもしもの時に備えるわけですね。

リスク保有


リスク分析の結果において組織に与える影響度が小さいと判断できる場合には、許容の範囲内としてリスクを受け入れ保有することもあります。これがリスク保有です。

どうせ大したことないならそのまま抱えておこう



というわけです。リスクをどうにかしようとするのではなく、そのまま受け入れるというのは逆の発想ともいえますね。

こうした場合、たとえリスクが発生したところで損害が小さいため、明確な対策をとらずそのままにしておくというわけです。

なにより対策を講じることによって対策にかかる費用が損失を上回る場合にはリスク保有を選択する必要があります。これは金銭面を考慮してのことなのでリスクファイナンシングに分類されるのです。





それでは、今回はここまでといたします。
最後までお読みいただきありがとうございます。


リスクを小さく
最新情報をチェックしよう!