リスクマネジメント
リスクマネジメントとは
Section titled “リスクマネジメントとは”情報システムを運用していると、サイバー攻撃による情報漏えい、自然災害によるサーバー停止、従業員の操作ミスなど、さまざまな「好ましくない出来事」が起こる可能性があります。こうした好ましくない出来事が発生する可能性とその影響の大きさをあわせたものをリスクと呼びます。
リスクマネジメントとは、組織を取り巻くリスクを体系的に把握し、適切に対処するための一連の活動のことです。リスクマネジメントは一度行えば終わりではなく、環境の変化にあわせて継続的に見直していくプロセスです。
リスクマネジメントは、大きく分けて「リスクアセスメント」と「リスク対応」の2つのプロセスで構成されます。まずリスクアセスメントでリスクの全体像を把握し、その結果をもとにリスク対応の方針を決定する、という流れです。
リスクアセスメント
Section titled “リスクアセスメント”リスクアセスメントとは、組織にとってどのようなリスクがあるかを洗い出し、その大きさや優先度を判断するプロセスです。リスクアセスメントは、以下の3つのステップで進めます。
リスク特定は、組織にどのようなリスクが存在するかを網羅的に洗い出すステップです。「何が起こり得るか」「その原因は何か」を幅広くリストアップします。
たとえば、以下のようなリスクを洗い出します。
- 外部からのサイバー攻撃による顧客情報の漏えい
- 地震や火災によるサーバールームの損壊
- 従業員の不注意によるノートPCの紛失
- ソフトウェアの脆弱性を突かれた不正アクセス
この段階では「起こるかどうか」は気にせず、考えられるリスクをできるだけ多く挙げることが大切です。
リスク分析は、特定したリスクそれぞれについて、「発生する確率(頻度)」と「発生した場合の影響の大きさ」を見積もるステップです。
たとえば、「ノートPCの紛失」というリスクであれば、「外出の多い営業部門では発生確率が高い」「PCに顧客データが保存されていれば影響が大きい」といった分析を行います。
リスク評価は、リスク分析の結果をもとに、各リスクの優先度を決めるステップです。発生確率と影響の大きさを掛け合わせてリスクの大きさを算出し、「どのリスクから優先的に対策すべきか」を判断します。
リスクの大きさが高いものから順に対策の優先度を設定し、次のリスク対応のプロセスに進みます。
試験で出るポイント
リスク対応とは、リスクアセスメントの結果をもとに、各リスクに対してどのような対策をとるかを決定し、実行するプロセスです。リスク対応には大きく4つの方法があります。
| 対応方法 | 考え方 | 具体例 |
|---|---|---|
| リスク回避 | リスクの原因そのものをなくす | 個人情報を扱うサービスそのものを廃止する、危険な地域への出張を取りやめる |
| リスク低減 | リスクの発生確率や影響を小さくする | HDDを暗号化する、ウイルス対策ソフトを導入する、退社時にクリアデスクを実施する |
| リスク共有 | リスクを他者と分け合う | 保険に加入する(リスク移転)、データセンターを複数拠点に分散する(リスク分散) |
| リスク保有 | リスクをそのまま受け入れる | 発生確率が極めて低く影響も小さいリスクについて、あえて対策をとらずに受容する |
リスク回避とは、リスクの原因となる活動や状況そのものをやめることで、リスクをゼロにする方法です。たとえば、セキュリティ上の懸念がある外部クラウドサービスの利用を中止する、といった対応がこれにあたります。
リスクを確実になくせる反面、その活動から得られるメリットも失ってしまうため、ビジネス上の判断が必要です。
リスク低減とは、リスクが発生する確率を下げたり、発生した場合の被害を小さくしたりする対策をとることです。4つの対応方法の中でもっとも一般的に行われる方法です。
具体例を見てみましょう。
- HDDの暗号化:ノートPCを紛失しても、データの漏えいを防げる
- ウイルス対策ソフトの導入:マルウェア感染の確率を下げる
- 退社時のクリアデスク:机の上に書類を残さないことで、情報の盗み見や紛失を防ぐ
- 定期的なバックアップ:データ消失時の被害を最小限にする
試験で出るポイント
リスク共有(リスク移転・リスク分散)
Section titled “リスク共有(リスク移転・リスク分散)”リスク共有とは、リスクによる損害を自分だけで負わず、他者と分け合う方法です。リスク共有にはリスク移転とリスク分散の2つが含まれます。
リスク移転は、リスクが現実になった場合の損害を第三者に肩代わりしてもらう方法です。もっとも代表的な例は保険への加入です。たとえば、サイバー攻撃による損害に備えて「サイバー保険」に加入すれば、万一の場合の金銭的な負担を保険会社に移転できます。また、システム開発を外部に委託し、その契約の中で障害時の責任を委託先に負ってもらうことも、リスク移転の一種です。
リスク分散は、リスクを一箇所に集中させず分散させることで、被害を最小限にとどめる方法です。たとえば、データセンターを東京と大阪の2拠点に分散させておけば、一方が災害で停止してももう一方で業務を継続できます。
リスク保有(リスク受容)
Section titled “リスク保有(リスク受容)”リスク保有(リスク受容)とは、リスクの存在を認識したうえで、あえて特別な対策をとらずに受け入れる方法です。
すべてのリスクに対策を講じるには、膨大なコストと手間がかかります。そのため、発生確率が極めて低い、あるいは発生しても影響がごく小さいリスクについては、「対策にかかるコスト」と「リスクが現実になった場合の損害額」を比較し、対策しない方が合理的と判断する場合があります。これがリスク保有です。
ただし、リスク保有は「リスクを無視する」こととは違います。リスクの存在を把握したうえで、意識的に「受け入れる」と判断することが重要です。
リスク対応を選ぶ考え方
Section titled “リスク対応を選ぶ考え方”実際のリスク対応では、1つのリスクに対して複数の対応方法を組み合わせることもあります。たとえば、ノートPCの紛失リスクに対して、「HDDを暗号化する(リスク低減)」と「情報漏えい保険に加入する(リスク共有)」を併用する、といった具合です。
どの対応方法を選ぶかは、リスクの大きさ、対策にかかるコスト、組織の方針などを総合的に判断して決定します。
試験で出るポイント