情報セキュリティにおける4つのリスク対応

IT産業は目にも留まらぬ早さで成長しており、それと同時に企業の情報セキュリティ上のリスクも高まっています。日々脆弱性が発見されてはそれを突いたサイバー攻撃が実行され、新しい技術が開発されてはリスクが増えていっています。

そんな情報セキュリティリスクに対して、企業はどのように対応していけば良いのでしょうか。

リスクの対応方法

私達の生活はITによって利便性を増しましたが、それに伴って様々なリスクも生まれてきています。情報セキュリティマネジメントシステム規格 である ISO27001 では、こういったリスクを分析し、リスクに対して何らかの対応を行う枠組みを企業に提供していますが、 ISO 27001 認証 を取得したからといって完璧な情報セキュリティ体制を構築できるわけではありません。

ISO27001規格も、こういった状況を理解した上で、「リスクを無くす」のではなく、「リスクに対応する」ことに重きをおいて策定されています。

では、どのようなリスク対応方法があるのでしょうか？

リスクの軽減

リスクアセスメントによって得られた情報セキュリティリスクを軽減することは、最も理解しやすい対応方法であるといえます。危険だと結論づけたものに対して、何らかの形でアプローチをしていく「リスクの軽減」は、そのリスクの重要度や発生頻度に応じて最初に行うべき対策であります。基本的には管理策を講じてリスクの軽減を行っていくのが健全なリスク対応であるといえます。

ただし、何でもかんでもリスクがあるからといってそのリスクを軽減するための対策を講じていたのでは、キリがありません。複数あるリスクの中から取捨選択を行い、リスクの軽減を行っていくのが良いでしょう。

リスクの保有

リスクアセスメントの結果、受容することができるリスクであった場合はリスクを保有することも検討しましょう。リスクの保有とは、「そこにリスクがある」と把握した上で対策を講じずに監視だけを行うというものです。

上述の通り、何でもかんでもリスクがあるからといって対策を講じていたのでは、キリがありませんから、リスクの重要度や発生頻度、影響度を鑑みてリスクを保有するという選択も「リスク対応」であるといえます。

リスク回避

リスク回避とは、わかりやすく言えば保有している情報を隔離または廃棄してしまうことを指します。リスクアセスメントの結果、「自社の技術力では受容することができない」と結論づけた場合にこの選択を取ります。

特に事業継続のために不必要な情報を保有している場合は、リスクだけがつきまとうためリスク回避という選択をすることが望ましいでしょう。最悪の場合は事業撤退という形でリスクを回避することも考えられます。

リスク委託

リスクの回避もできない場合は外部にリスクを委託することも検討しましょう。例えば、クラウドサービスを利用したり、サプライヤーに移転したりするのがリスク委託です。また、保険に加入することもリスク委託と言えるでしょう。

リスクはなくならないものと考えておこう

上記では、4つのリスクの対応方法についてご紹介してきましたが、共通して言えることはリスクはなくならないーーつまり、0にならないということです。事業を行う上で必要な情報であったとしても、そこにはリスクというものが存在していることを認識しましょう。そして、そのリスクが漏洩、改ざん、破損する可能性は限りなく0に近い状態にすることはできても0にはなりません。

また、いかに細かくリスクアセスメントを行ったからといって、全てのリスクを認識することはできないでしょう。

リスクが発生してしまったときにどのように対応するのか、そのリスクの発生頻度はどれくらいか、どれくらいの影響が出るのか、どれくらい重要なのかということを洗い出し、どのような対応方法を取るべきかということを整理しましょう。そのための枠組みがISO27001なのです。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。