リスクアセスメントまで終わったら、最後はリスク対応になります。
リスクアセスメントで「リスク低減」、「リスク移転」としたリスクについて、それぞれ対策を取るフェーズになります。
「リスク低減」の具体的な対策と実例
まずは「リスク低減」です。
「リスク低減」での対策の方向性は、
・リスクアセスメントで挙げたリスクが発生しないような予防策を策定し実施する
・リスクアセスメントで挙げたリスクが発生した場合、影響度を低減させる対策を策定し実施する
ことの2つになります。
ここでは、実例を挙げてリスク対策を考えてみましょう。
具体的な予防策
リスクが「メール誤送信により、顧客機密情報が漏えいするリスク」だった場合、
◆予防策として考えられる対策は、
・全従業員を対象とする情報セキュリティ教育で、メール送信時の注意事項(ToとCcの設定を含めた宛先確認、本文確認、ファイルの中身の確認まで含めた添付ファイルの確認)を周知する
・メール誤送信防止ソフトウェアを導入し、メール送信時に宛先、本文、添付ファイルの確認を確実に行なわないとメールを送信できないようにする
などが考えられます。
発現した時の具体的な対策
◆メール誤送信が発生した場合の影響度を低減させる対策は
・外部に添付ファイル付きのメールを送信する場合は、ファイル共有サーバー経由として、相手側がダウンロードする前だとファイルを削除できるクラウドサービスを利用する
・メール誤送信した場合の対応手順を確立し、情報セキュリティ教育で全従業員に周知する
※具体的には、誤送信が発覚したらすぐに誤送信先の担当者に電話し、誤送信の事実を伝え、お詫びして誤送信メールを削除してもらうよう依頼する(ただし、相手先が確実に誤送信メールを削除したことの確認を取る方法はない)などですが、誤送信自体を無かったことにすることは不可能なので、予防策を徹底しメール誤送信をしないようにすることが基本となります。
リスクアセスメントにおける優先順位付けの重要性
また、リスクアセスメントで挙げられたリスクに対して順番に対策を検討するのではなく、まずはリスクの重要性や有識者の意見などをもとに、リスク対応する優先順位を決める必要があります。資源(人、時間、予算等)が十分あればそれでも構いませんが、普通は限られており、その資源の中で対応するためにはどうしてもリスクアセスメントで挙げたリスクに優先順位を付けて、重要度の高いものから順に対応策を立てて実行に移すことが有効性を高めるための一つ目のポイントになります。
実現可能なリスク対応策の設計
対応策は実現可能なことを挙げてください。自組織では対応が不可能と思われるような理想を対応策として挙げても何の意味もありません。対応可能なレベルから少しストレッチした実現可能なことを対応策としてあげるのがちょうど良いと思います。その対応策が実現出来たら、次の対応策としてさらに少しだけストレッチすれば良いのです。これを繰り返していけば、当初の対応策より何段も高度な対応策になっているはずです。大切なのは、実現可能な目標を立てるということと、それをクリアしたら次の目標を立ててそれを達成することを継続して繰り返すこと、これが二つ目のポイントで、実はこのような管理システム(リスク管理システムを指しています)では一番重要な事柄です。
残留リスクの管理と評価
いくらリスク対応策を取ってもリスクをゼロ(無くす)にすることはできません(リスク回避は別として)。そのためリスク低減の対応を取った後に残るリスク(残留リスク)についても発生可能性と影響度を評価し、リスク重要度がリスク受容基準以内に収まっているかどうか判断する必要があります。
全てのリスクがリスク受容基準内に収まっていればリスク対応が終了となります。これが三つ目のポイントになります。
「リスク移転」の具体的な対策と実例
次に「リスク移転」です。
これは、リスクの一部を他社に移転することを意味します。具体的なリスクとして、「会社の個人情報管理システムがサイバー攻撃を受け、個人情報管理システムに保管している個人情報が窃取されダークサイトで売買されるリスク」が考えられます。このリスクに対して「リスク低減」対策は当然取っているはずです。サイバー攻撃を検知するツール導入、ネットワークの常時監視、エンドポイントにアンチウィルスソフトの導入など対策を打ち、さらに全従業員に対するサイバー攻撃対策の教育を行っても、何かのすきを突かれ感染し個人情報が盗難に合うリスクはあります。このような事象が発生したら、会社は、原因調査、システムの復旧、プレス発表対応、弁護士費用、個人情報が漏えいした人への損害賠償など多額の費用が発生することになります。しかし、サイバー保険に入っていると、これらの費用が補填されます。個人情報が漏えいしたということで、会社の評価は低下しますが、更なる費用負担面が低減されることは唯一のメリットです。つまりリスクの発現への対策ではありませんが、「リスク移転」で費用負担の面の対策になります。ただし、サイバー保険に加入するためには、損保会社から求められるレベルの情報セキュリティ対策を取っておく必要があるので、当然、ここで挙げたレベルのリスク対策を行っていることが必須条件となります。
「リスク回避」の具体的な対策と実例
最後に「リスク回避」です。
これは、リスクの重要度(発生可能性と影響度が最高)が非常に高く、会社としてリスクを受け入れる余地がない場合です。「リスク回避」の事象の例として、サポートが終了したOS(オペレーティングシステム)やアプリケーションを使用し続けるリスクがあります。このような状態ではセキュリティパッチが提供されないため、新たに発見される脆弱性に対して無防備になります。このような古いシステムを使い続けることはいつサイバー攻撃を受けるかわからないためリスクの発生可能性は非常に高く、攻撃を受けた場合にはネットワークを介して影響範囲は甚大になることが想定され、場合によっては経営に大きなダメージを与える可能性もあります。そのためこのようなサポート切れのOSやアプリケーションを利用しているシステムの利用は完全に停止し、サポートされている最新のシステムに移行することが必須と言えます。