前回の2017年3月15日に記載した「情報セキュリティマネジメントシステム(ISMS)におけるリスクアセスメント手法を徹底解説」において、リスクを特定し分析を行い、その結果を元にリスク度合いを評価する手法についてお伝えしました。評価したリスクを元に、どの様なリスク対策を行うのかを考える必要があります。
リスクへの対応方法は、リスクの度合いや影響度に応じて、適切に選択する必要があります。今回は、リスクアセスメントで洗い出したリスクに対して、対処方法を解説します。
リスクへの対応に関する2つの考え方
情報セキュリティへのリスクに関する考え方としてあげられるのが、「リスクコントロール」と「リスクファイナンス」があります。
リスクコントロール
リスクコントロールとは、行動や対応などによってリスクに対して対応することで、リスクの発生をあらかじめ防ぐことに加え、万が一、リスクが発生した場合においてもそのリスクによる損害を低減することです。また、リスクに備えて、その損害を回避もしくは低減することを「リスクヘッジ」とも言います。
例えば、横断歩道で道路を渡る時は、車が来ていないかをあらかじめ左右確認することで、車との衝突を未然に防ぎます。また、インフルエンザにかからない様に、マスクをして出かけることもリスクコントロールになります。
リスクファイナンス
リスクファイナンスは、リスクが発生した場合において、金銭的な部分でその損害を穴埋めすることです。例えば、身近な例で言えば、保険がその代表的な例です。例えば、交通事故にあった場合に備えて自動車保険に加入することや、火事が発生したことで家財を買い直すなどの突発的な出費に備えて火災保険に加入するなどがあります。
リスクへの4つの対処方法
万が一、リスクが発生した場合において、リスクが発生する可能性とリスクが発生した場合における損害の影響度に応じて、適切な対処方法を選択する必要があります。
前回の2017年3月15日の記事で記載しました、リスクの度合いに応じてランク付けを行う、リスクレベルに応じて、「リスク低減」、「リスク保有」、「リスク回避」、「リスク移転」のいずれかを行います。
リスク低減
リスク低減は、情報セキュリティの脆弱性に対して、何かしらの対策を講じることで、リスクによって発生する損害度を低減する方法です。例えば、パソコンがウイルスに感染しないために、ウイルス対策ソフトを導入することや、パソコン本体が盗難にあわない様に、セキュリティワイヤーを接続しておく、オフィスの入退出時には、入退出者の記録や第三者の侵入を防ぐために、ICカードによる認証を行うなどがあります。
リスク保有
リスク保有は、発生しうるリスクに対して影響度が少ない場合、何かしらの対策は行わず、リスクをそのまま受け入れることです。例えば、損害が発生してもその影響度が小さいために、対策を行ってもコストに見合わないといった場合や、現状として対策する方法などが見当たらない場合においてリスクを保有する選択を行います。
リスク回避
リスク回避は、リスクが発生する要因を除去してリスクが完全に起こらない様にすることや、発生したリスクに対して何かしら別の方法に変更することで、リスクを取り除くことです。特に、リスクの損害度が大きい場合において有効な方法です。例えば、日常の業務連絡にメールを使用していたが、誤送信のリスクが高く情報漏洩につながるリスクが高いため、メール以外の手段を使って業務連絡をおこなうといった方法もリスク回避であると言えます。
リスク移転
リスク移転は、発生したリスクを他社などに移転することです。例えば、先程のリスクファイナンスで紹介した保険に加入する方法が代表的な方法で、何かしらの損害に備えてあらかじめ保険に加入しておくことで、その損害を他社に移転しています。また、保険だけではなく、何かしらのシステム運用を他社に移転することで、不正侵入などがあった場合において損害賠償などで損害を移転することができます。
ただし、リスク移転は、リスクによる損害を100%移転できるわけではなく、損害に対してその一部を補償を行うことで、金銭的な損失を補うことが一般的です。
リスク対応後に残る残留リスク
リスク対策は、上記4つの方法で行われますが、リスクに対する対応を行っても残ってしまうリスクを「残留リスク」といいます。
例えば、出張時にモバイルノートパソコンを持ち出し時に紛失による情報漏洩を防ぐためにパスワードを不可しておくという対策を取っておいたと仮定した場合、単純に紛失にあった場合は、パソコン本体の紛失による損害だけで情報までが盗まれて漏洩するリスクは軽減されます。
しかしながら、それでも情報漏洩が完全に発生しないとはいえず、何かしらの技術を活用してパスワードを抜き取ることや、空港や駅などでノートパソコンを使用している時に、パスワードを入力して言えるところを見られて、物理的にパスワードを入手する可能性なども考えられます。
残留リスクに対しては、リスクを保有しているリスク保有者による判断が必要になりますが、一般的には、2017年3月15日に記載したリスクアセスメントと同様に手法で対策の有無を検討することになります。