【情セキ.013】リスクの対応
佐藤@IT雑貨屋です。
リスクアセスメントをして、情報資産へのリスク分析を行った結果、そのリスクへの対応について書かせて貰います。
◆リスク対応の考え方
リスクへの対応は大きく分けで、以下の2つに分かれます。
①リスクコントロール
技術的な対策や人的対策、また物理的対策を講じるなどして対応する事を言います。
②リスクファイナンシング
資金面で対応をする事を言います。例としては外部に委託をする等
リスクが発生した時、その被害を回避、もしくは軽減する様に工夫する事をリスク
ヘッジと言います。またリスクが顕在化した時に備えて、情報化保険(IT保険)や、
IT事業者向けの責任保険等も用意されているので、これらも対応の方法として検討に
いれても良いでしょう。
◆リスク対応の方法
リスク分析をした後、それぞれのリスクに対応する方法を検討しますが、それには以下の様な方法があります。なお、リスク対応の方法は必ずしも排他的なものではなく、また、全ての周辺状況に適切であるとは限りません。
①リスクリテイク(リスクを取る、または増加させる)
ある機会を追求するために、リスクを敢えてとる、もしくは増加させます。方法
として以下のものがあります。
・起こりやすさを変える
・結果を考える
一般的あリスクを減らすようなセキュリティ対策はこれに当たります。リスク最適化
、低減または強化とも言われています。
②リスクの回避
リスク源を除去する。つまりリスクを生じさせる活動を始めたり、継続しないと決定
する事により回避します。例えばメーリングリストを廃止するなどがこれに該当
します。
➂リスクの共有(リスク移転、リスク分散)
他者とリスクを共有します。例えば保険加入もリスクの共有にあたります。
④リスクの保有(リスク受容)
組織に意思決定により、リスクを受け入れる事を決めます。具体的な対策は行わない
という対応です。
◆残留リスク
リスク対応後に残るリスクを残留リスクと言います。あるリスクに対してリスク対応をした結果、残ったリスクの大きさを明確にし、それが許容範囲かどうか、リスク所有者が再度判断する必要があります。
◆リスク対応計画
リスク脅威を低減するための対応方法を決定した後、それを計画として策定します。これにはリスク管理簿(リスク登録簿)等を準備して、必要なリスク対応を進めていきます。
◆リスクコミュニケーション
リスクコミュニケーションとは、リスクに関する正確な情報を組織のステークホルダー(利害関係者)に共有し、相互に意思疎通を図る事で、特に災害など、重大で意識の共有が必要なリスクについて行います。
ここまでで情報資産に対する、情報セキュリティのリスク関連について書かせて貰いました。内容としてはとても抽象的な内容が多いのですが、組織の事業分野や業務内容は、個々に異なるものであって、では具体的にどの様にリスクに対していくかは、各組織毎に検討すべき事なのです。そして具体的に検討する際の「基本的な考え方」として、こういった一連のリスクマネジメントの考え方を用いて行くべきなのです。