オルタナティブ・ブログ > ITソリューション塾 >

最新ITトレンドとビジネス戦略をわかりやすくお伝えします!

【図解】コレ1枚でわかるリスク・マネージメント

»

スクリーンショット 2022-01-25 6.15.34.png

「リスク」とは、事業活動に損害を生じさせる可能性のことです。例えば、お客様から預かっている顧客情報や企業活動に関わる機密情報が漏洩する、不正アクセスやマルウェア(悪意のあるソフトウェア)によって、システムが停止させられるなどのインシデント(セキュリティに関わる脅威となる事象)が起こると、業務の停止、信用失墜や顧客離れ、売上の減少や競合他社に対する競争力の低下などの損害が生じます。

このようなリスクを低減し、事業活動の健全性を維持しつつ継続させるための取り組みが、サイバー・セキュリティ(以下断らない限り、「セキュリティ」とします)におけるリスク・マネージメントです。

事故の発生

インシデントの発生は、「脅威」が、きっかけとなります。「脅威」とは、「リスク」を引き起こす要因です。そんな「脅威」は、2つに大別できます。

人為的脅威:人間によって引き起こされるもの。意図的脅威と偶発的脅威に分けられる。

「意図的脅威」とは、悪意を持つものによる攻撃(不正侵入、マルウェア、改ざん、盗聴など)や盗難、破壊など。

「偶発的脅威」とは、人的ミス(紛失、操作ミス、会話の盗み聞きによる情報漏洩など)やシステム障害(ストレージの破損、ネットワーク機器の故障など)。

環境的脅威:地震、洪水、台風、落雷、火事などの災害。

「脅威」は、なくせませんし、自分たちでコントロールもできません。例えば、「うちには不正侵入はしないでくれ、ウイルスは送らないでくれ」とお願いすることができないからです。しかし、どのような脅威が存在するかについては、徹底して洗い出して、事業への影響を分析しておくことは、必要です。

一方、「脆弱性」とは、人為的脅威によって利用されるおそれのある、あるいは、環境的脅威によって影響を与えるかも知れない、以下のような弱点です。

  • ソフトウェアの欠陥(バグやセキュリティ・ホールと呼ばれる)
  • システムを運用管理する手順や方法の不手際
  • システムに関わる従業員の知識やスキルの不足、モラルの欠如や実践不足

技術的要素だけではなく、人間的要素も少なくありません。

これら「脆弱性」を完全になくすことはできませんが、「脅威」とは異なり、自分たちの努力で減らすことはできます。例えば、「泥棒(脅威)を世の中からいなくすることはできませんが、家の出入り口や窓(脆弱性)には鍵をつけて、外出時には必ず鍵をかける(脆弱性対策)」ことはできます。

「脅威」と「脆弱性」が一致するから事故になります。ですから、自分たちでは、どうにもしようのない「脅威」ではなく、対策が可能な「脆弱性」を排除することが、事故をなくすための基本となるのです。

事故の影響と受容

徹底した「脆弱性対策」を行えば、事故はなくなりますが、その分コストもかかります。では、どこまで対策すればいいのでしょうか。

まずは、「何を護るか」を選別することです。護る対象についての「情報セキュリティの3要素(機密性、完全性、可用性)が、脅威にさらされたとき、それが事業の継続や事業価値の維持に、どの程度の影響があるかを評価します。その影響度や重要度に応じて、どのような対策を行うべきかを、コストとの兼ね合いで、判断します。重要度が低いにもかかわらず、「セキュリティが心配だから、何でも対策する」という思考停止は、厳に慎むべきです。

また、コストをどれだけかけるかは、「受容レベル」によって決まります。例えば、「電子メールが停止した場合、利用者はどれだけの時間なら許容できるか」について、「①1秒たりとも止まっては困る/②10分なら許容できる/③半日なら許容できる」といった、「許容レベル」によって、対策にかかるコストがまるで違います。感覚的な数字ですが、①なら10、②なら5、③なら1くらいの金額差は生じるでしょう。

対策を行うにも、このような許容レベルの合意を取り付けて、妥当な対策コストをかけなければ、費用対効果の高い対策は、見込めません。

さらに対策が、適正に行われ、有効に機能しているのか、あるいは、想定外の「脅威」や「脆弱性」はないかを、常に検証し改善するために、全ての記録をとって説明責任を果たせるようにしておくことも必要です。

1d1f2782bba7228de2b66934ad94d3ff16df6a92-thumb-300x222-46461.png

次期・ITソリューション塾・第39期(2022年2月9日 開講)の募集を始めました。

ITソリューション塾は、ITのトレンドを体系的に分かりやすくお伝えすることに留まらず、そんなITに関わるカルチャーが、いまどのように変わろうとしているのか、そして、ビジネスとの関係が、どう変わるのか、それにどう向きあえばいいのかを、考えるきっかけになるはずです。

  • SI事業者/ITベンダー企業にお勤めの皆さん
  • ユーザー企業でIT活用やデジタル戦略に関わる皆さん
  • デジタルを武器に事業の改革や新規開発に取り組もうとされている皆さん
  • IT業界以外から、SI事業者/ITベンダー企業に転職された皆さん
  • デジタル人材/DX人材の育成に関わられる皆さん

そんな皆さんには、きっとお役に立つはずです。

詳しくはこちらをご覧下さい。

  • 日程 :初回2022年2月9日(水)~最終回4月27日(水) 毎週18:30~20:30
  • 回数 :全10回+特別補講
  • 定員 :120名
  • 会場 :オンライン(ライブと録画)
  • 料金 :¥90,000- (税込み¥99,000)
  • 全期間の参加費と資料・教材を含む

ITビジネス・プレゼンテーション・ライブラリー

【1月度のコンテンツを更新しました】
======
DXの本質 というタイトルを公開しました
トレンドと歴史(全38ページ)の内容を改訂し復活させました
ITソリューション塾について
・教材を最新版(第38期)に改訂しました
・講義の動画を新しい内容に差し替えました
======
【新規】デジタルな業務基盤と働き方 p.11
【新規】デジタル化とDXの違い p.29
【新規】人間とデジタル p.48
【新規】DXとは何か p.52
【新規】タレントマネージメント企業/事業 p.189
【改訂】共創とデジタル産業 p.191
【改訂】事業構造の転換 p.192
【新規】SI事業者/ITベンダーのDX戦略 p.193
【新規】DX戦略と求められる人材 p.194
【新規】ITベンダーのためのDXビジネス実践力チェック・リスト p.195
【改訂】DXを実装する3つのステップ p.216
【新規】DXの正しい進め方 p.217
【新規】UX価値を起点とする課題解決を目指す p.218
【新規】最近お気に入りのDXジョーク 1 p.221
【新規】最近お気に入りのDXジョーク 2 p.222
ビジネス戦略・その他
【新規】「失敗の本質」から学ぶ自己革新組織の原則 p.12
ITインフラとプラットフォーム
【新規】リスクとリスクマネジメントの考え方 p.112
【新規】サイバーセキュリティに関するリスク p.113
【新規】セキュリティ機能のないプラットフォーム利用 p.114
【新規】OSにもセキュリティ機能は組み込まれています p.115
【新規】攻撃ベースのセキュリティ対策の限界p.116
【新規】全てのやりとりを把握するための仕組み p.118
【新規】ポリシーを動的に構成する p.128
DXの本質を新規公開
トレンドと歴史(全38ページ)の内容を改訂し復活させました
ITソリューション塾の教材を最新版に改訂しました(第38期版)
・最新の教材
・講義の動画
下記につきましては、変更はありません。
 ERP
 クラウド・コンピューティング
 AIとデータ
 開発と運用
 IoT
Comment(0)