安全とリスク、リスクへの対応分類

今回はITシステムのセキュリティ脅威分析の派生で安全とリスクについてとそのリスクへの対応の分類についてお話します。

安全とは、リスクとは

まず、安全とはですが、国際的な定義でいうと「受容できないリスクがないこと」です。これはISO/IECガイド51という安全規格を策定する際の基準となるガイドラインに記載されているものです。安全とはリスクの判断によって決まるというちょっと受け身的な視点です。

では、リスクとは何でしょう。そのガイドラインでは危害の発生確率とその危害の程度の組み合わせとなっています。ちなみに危害は人の障害や健康喪失の状態、または財産や環境の価値喪失状態のことです。平たく言うと人やモノ、環境を悪くすることが起きそうな確率とそのひどさの組み合わせによるもの、つまり、危なさの度合いといったところです。

リスク自体も発生確率とひどさという少しフワッとした部分がありますが、安全はさらに受容できるかどうかという人の判断で決まっているところがリスクを軽視し、安全をないがしろにすることになるのではと改めて感じた定義でした。とはいえ、これが意外としっくりくるので、やむを得ない感じですね。

少し脱線しますが、経済学的なリスクは「ある事象の変動に関する不確実性」のことを指しており、マイナスのリスクだけでなく、プラスのリスク(チャンス)も含まれています。今回は情報セキュリティなので、安全の定義となるリスクで捉えてください。

さて、後半はリスクへの対応の分類です。これは以前、プロジェクトマネジメントのリスクマネジメントでも紹介しましたが、情報セキュリティの観点から少しお話します。

リスクは起きた時でも問題なく対応できればいいのですが、なかなか難しいのが現実です。そこで、対応方法をいくつか分けて考えていくことが必要になります。

リスクの回避

まずは、リスクを回避します。つまり、リスクの発生自体をなくすことを考えます。例えば、リスクが大きそうな外部サービスをやめて、内製化するとか、データの安易な作成やコピーは禁止する、不要なデータや書類は速やかに削除するといったことです。

意外とこの回避を検討せずに、リスク対応を考えていることが多いです。まずは、そのリスクそのものをなくせないかを考えることがお金をかけずに効果的なセキュリティ対策がとれるということを覚えておいてください。端的に言うと業務や帳票のムダをなくすことがリスクをなくす重要なポイントということです。

リスクの低減(軽減)

次に、リスクの低減(軽減)です。これが一般的なセキュリティ対策と呼ばれるもので、アップデートにより脆弱性をなくす、ウイルス対策ソフトを導入する、セキュリティ教育を実施するといったことです。データの紛失を防止するために外部のデータセンターにバックアップをとるといった対策もリスクの低減にあたります。

リスクの共有(分散)と転嫁(移転)

次が、リスクの共有(分散)です。回避のところでは外部サービスをやめるといいましたが、セキュリティ対策をきちんとしているサービスならむしろ利用したほうが安全な場合もあります。クラウドサービス以外にも複数箇所で作業ができるようにすることも一種の分散だととらえていいと思います。

次が、リスクの転嫁(移転)です。これはリスクが発生したときにその損害を肩代わりしてもらうようなもので、セキュリティに対する損害保険、いわゆるサイバー保険に入るといった対策がこれにあたります。このようにリスク対応を第3者に移すことが転嫁です。なお、共有と転嫁はひとくくりにされる場合もあり、例も混ざっていることがあるので、その点は覚えておいてください。

リスクの保有(許容・受容)

最後がリスク保有(許容・受容)です。リスクは前述したように発生する確率と損害度合で決めます。つまり、発生する確率がとても低いか、損害度合いがとても小さい場合は、あえて措置をしないという選択肢があるということです。具体的には戦争や政変といったものや代替機器が容易に準備できる機械の故障といった場合です。

リスク回避以外は当然、費用がかかるものがありますので、費用対効果を考えて対応することも重要です。情報漏えい等の事故が発生した場合の効果算定はなかなか難しいですが、それなりに大きな金額になることが増えてきています。十分な検討をしてリスク対応を行ってください。安直にリスク保有をしないようにしましょう。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする