日商 Assist Biz

更新

企業を襲うサイバー脅威 リスク分析で決定する「リスク対応」

「リスク対応」を選択する場合には、まず前回説明したリスク分析の結果に基づき、自社におけるそのリスクの発生の可能性と発生した場合の影響の度合いの検討の作業(「リスク算定」と「リスク評価」)をします。左の図表は、リスクの発生の可能性と発生した場合の影響の度合いから、リスク対応を選択する、一般的な考え方を示したものです。

そして、「リスクの回避」「リスクの最適化(リスクの低減)」「リスクの移転」「リスクの保有」の4つの種類のうち、どのような対応にするかを選択することになります。

では、「ノートPCの紛失による情報漏えい」というリスクについて、リスク対応の4つの種類を当てはめてみましょう。

「リスクの回避」では、「ノートPCを持ち出さない」というような対応になります。ただし、リスクの回避は、ビジネス機会の損失など、デメリットが大きいことに注意しなければなりません。

「リスクの最適化(リスクの低減)」では、「ノートPCのデータを暗号化する」というような対応になります。「リスクの最適化(リスクの低減)」は、リスクを減らすために情報セキュリティ対策を講じることです。または、行き過ぎた情報セキュリティ対策の場合には、実施レベルを下げたり、対策の実施をやめたりします。

「リスクの移転」では、「ノートPCの紛失による被害に備え、損害保険に加入する」というような対応になります。リスクの移転は、このように保険をかけたり、情報セキュリティ対策をアウトソーシング(外部委託)したりすることです。

「リスクの保有」では、「ノートPCの紛失による損害を許容できるリスクとみなし何もしない」という対応になります。リスクの保有は、何もしていないように見えるかもしれません。しかし、リスクを評価せずに、結果として対策がとられなかったのではありません。リスクを評価しないことは、「リスクの保有」ではなく、リスクの見落としでしかありません。

今回は、リスク対応について説明いたしました。次回は、情報セキュリティ対策の種類とその選択について解説します。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

情報セキュリティ対策は、一般に「技術的対策」「物理的対策」「人的対策」の3つに分類されます。技術的対策は、ファイアウォール、侵入検知システム(IDS)、ウイルス対策シス…

前の記事

長谷川長一

前回は、「脆弱性」につけ込むことで被害や影響をもたらす「脅威」について説明いたしました。これまでの回で説明したとおり、情報セキュリティ対策を実施するには、組織を取り…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…