企業活動において、ITの活用はもはや必要不可欠です。ITの活用によって、業務効率の向上・コスト削減・生産性向上など、さまざまなメリットを企業は享受しています。
一方、ITを活用することによって生じるデメリットもあります。デメリットの中で、特に重視されているものが、情報セキュリティリスクではないでしょうか。
個人情報や取引先情報などが外部に漏洩することによって、その企業の信頼性が失墜したり、多額の対応コストがかかったという事例を耳にされた方も多いかと思います。
情報セキュリティリスクに対する対応方法には、「回避」「低減」「移転」、そして「受容」の4つの方法があります。
本記事では、これらのリスク対応方法のうち、「受容」について詳しく解説します。情報セキュリティ事故は、どの企業でも起こりえるため、リスクマネジメント方法も自分事として理解すべき必要があります。ぜひ、最後までお読みください。
目次
情報セキュリティリスクの4つの対応方法
情報セキュリティリスクにおける対応方法としては、以下の4点があります。
- リスク回避
- リスク低減
- リスク移転
- リスク受容
それぞれの定義について、詳しく紹介します。
リスク回避
リスク回避とは、リスクを発生させる原因自体を取り除くことによって、リスクの発生を完全に排除する戦略です。
たとえば、セキュリティリスクが高いソフトウェア・サービスを利用しないといった対策が、リスク回避の具体的な対策例です。
リスク低減
リスク低減とは、万が一情報セキュリティリスクが発生したとき、発生による影響を少なくする戦略を指します。
たとえば、コンピュータウィルスに感染するリスクを防ぐために、利用しているパソコンにセキュリティ対策ソフトを導入するといったことが、リスク低減に当てはまります。
リスク移転
リスクが発生したときに、その影響を第三者に移す戦略がリスク移転です。
たとえば、社内の情報システムの運用を、自社から他社に委託するといった方法が、リスク移転に該当します。
リスク受容
リスク受容とは、情報セキュリティに関するリスクが発生したときに、あえて特別な対策を講じずに受け入れる戦略を指します。
このように4つの方法がありますが、結論から言ってしまうと、想定されるリスクすべてについて、回避・低減・移転をするのではなく、残存リスクとして受容することもありえます。具体的に受容するケースは、次項で詳しく解説します。
リスク受容をするケース
リスク受容をするケースとしては、主に以下の3点があります。
- リスクの影響力が小さい
- セキュリティリスクを回避するための対策がない
- コスト(ヒト、モノ、カネ)に見合うリスク対応効果が得られない
それぞれのケースについて、さらに詳しくみていきましょう。
リスクの影響力が小さい
リスクの影響力が小さい例としては、公開用Webサーバの軽微な脆弱性(実害に直結しない脆弱性)が発覚したケースがあります。
影響力が小さいリスクの特徴としては、以下の2点があげられます。
- 限定的な脆弱性:実害がほぼなく、攻撃されても影響が業務継続に直結しない
- 代替手段がある:他の方法によってリカバリができる
セキュリティリスクを回避するための対策がない
たとえば、サーバのOSに新たな脆弱性が見つかったが、ベンダーからまだ当該脆弱性を回避するためのパッチが配布されていないといった事象が該当します。
コスト(ヒト、モノ、カネ)に見合うリスク対応効果が得られない
当該セキュリティリスクに対する対策方法はあるが、その対策を行うためには大幅なプログラム変更が伴い多額のコストが発生。しかも、当該セキュリティリスクが発生する確率が極めて低いことから、そのリスク対応効果がコストに見合わないといった例があります。
リスク受容にあたっての4つのプロセス
情報セキュリティリスクが、リスク受容という対応方法を取るにあたっては、以下の4つのプロセスで決定されます。このプロセスは、リスクマネジメントで行われるプロセスとほぼ同じです。
- リスクの特定
- リスクの評価(分析)
- 受容基準の明確化
- 文書化
それぞれのプロセスで行われる内容を、詳しく解説します。
リスクの特定
まず自社のシステムで起こりうる、情報セキュリティリスクを洗い出します。このとき注意すべき点は、リスクは「発生しないもの」と捉えるのではなく、「起こり得るもの」という観点で洗い出すことが重要です。
リスクの評価(分析)
リスクの特定で洗い出した、情報セキュリティリスクについて、各リスクの発生確率(頻度)・発生したときの影響度(レベル)を評価していきます。
リスク評価においては、発生確率が高いもの・発生時の影響が大きいものが、リスクが大きいものと判断されます。
受容基準の明確化
情報セキュリティリスクの中で、リスク受容を行う条件を明確化します。たとえば、そのリスクを回避するための代替策がある場合は回避/低減/移転し、代替策がない場合にのみ受容するといったことが考えられます。
受容基準の明確化においては、すべてのステークホルダーの合意・承認を得る必要があります。
文書化
受容基準の明確化プロセスの中で、ステークホルダーの合意・承認を得た、リスク受容基準の内容を文書化します。そして、あらためて内容確認のうえ、各ステークホルダーの承認印を得ておきましょう。
リスク受容のメリット・デメリット
情報セキュリティリスクを受容することによるメリットとしては、「リスク対応コストの削減」があげられます。
すべてのリスクを排除しようとすると、過剰なリスク対策費用や運用コストが発生する可能性があります。そのため、リスク受容することでこれらのコストの削減が図れるわけです。
デメリットとしては、万が一リスク受容対象のリスクが発生した場合に、リスク発生時の影響度がリスク評価時よりも大きかったとき、自社の信頼性が失墜し業績が悪化するといった可能性がある点です。
このように、情報セキュリティリスクを受容するときには、メリット・デメリットがあります。これらを踏まえたうえで、リスク受容基準を決めるとよいでしょう。
リスク受容を含む、リスクマネジメントをしっかりと実施していることを証明するものに、ISMSがあります。これからリスクマネジメントの検討をされる場合には、ぜひISMSの取得を検討してみてはいかがでしょうか。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
