第6回　日常的な取り組みこそがセキュリティ構築の基本急がれる体制づくり

正しいリスク評価のために

まず、体制づくりの前提となるリスク分析・評価の具体的な手法について紹介しよう。

最初に考えられるのが「定量的アプローチ」と呼ばれる手法である。これは、発生する可能性があるリスクを、その頻度と重大性によって評価し、ランクづけするというものだ。ここで言う頻度とは、それがどの程度頻繁に起きるのかということである。また重大性とはそれによる損害の大きさ、損害額などを表す。この2つのファクターから、リスクの大きさを量 るのである（図1）。

例えば、地震発生によるシステム・ダウンの場合、頻度は低いが損害は大きい。つまり、図1の「C」のエリアに入る。また、オペレーション・ミスに関しては頻発するものの、損害はそれほど大きくない。つまり「B」の領域になるのである。

したがって、リスクの大きさが最大となるのは、頻繁に発生し、かつ重大な損害・影響をもたらす「A」の領域ということになる。こうして、頻度と重大性を掛け合わせた「損失の期待値」と呼ばれる数値を算出し、ランクづけをするのがこの手法の特徴である。

もう1つ考えられるのが、「シナリオ分析」だ。これは、個々の資産にどのようなリスクが発生しうるのか、また、それが万が一発生した場合にはどうなるのかといったことを想定しながら、あらかじめシナリオを作るという手法である。

例えば、顧客データが漏洩するというリスクについて考えてみる。その際に、悪意のある誰かがコピーして外部へ持ち出すことを想定し、次に、それは「どんな人物」がいかなる経緯によって、「データをどこの誰に渡すのか」また、「そのときに自社がこうむる損害はどの程度になるのか」といったことを可能性として考えていくのである。

こうしたシナリオをいくつも作ることによって、その資産の管理は現状ではどうなっているのか、それは適切か、改善すべき点はどこかなどが検討できる。

これらの手法によって、まずはリスクの分析・評価の結果を正確にはじき出し、それと現状のリスク管理のあり方を照らし合わせれば、不適切な部分を改善することが可能となるのである。

リスク管理における3つの基本

とはいえ、情報資産のリスク管理は、決して容易な作業ではない。社内ネットワークにつながっているクライアント（社員）のハード・ディスクには、有益無益に関係なく時々刻々とデータが蓄積される。全社単位で見れば、それは膨大な量である。それらの情報を逐一管理するのは到底不可能だろう。

また、ある部門にとっては何の役にも立たない情報が、他の部門や他の企業にとってはどうしても欲しい情報であるというケースも考えられる。そうした情報を、特定の期間が役に立たないゴミとして棄ててしまうのをいちいち止めることは難しい。

さらに大きな問題点として、データが電子化され扱いやすくなったことで、情報の持ち出しが容易になり、心理的な抵抗感が低くなったことも見逃せない。紙のデータをコピーして持ち出すのは手間がかかるし罪悪感も抱きやすいが、顧客データをフロッピー・ディスクにコピーしたり、メールに添付して送ったりするのは実に簡単で、比較的罪悪感を抱きにくいのである。

今後、ネットワークが広がり、ITの高度化がさらに進展すれば、情報の価値は高まるものの、そうした情報資産のリスク管理の困難さは、ますます増大することになろう。それは覚悟しなければならない。こうした状況を踏まえて、リスク管理への取り組みを考えてみると、3つの基本原則が浮かび上がってくる。

その第1は、組織的な取り組みである。社員1人1人に何が重要な情報であり、それをどのように扱うべきかを周知徹底することが大切なのである。これにより、情報の漏洩を引き起こすリスクの発生頻度を低くすることが可能だ。

第2は、継続した取り組みである。リスクを可能な限り低くするためには、統一的な方針の下で、リスク管理に継続して取り組むことが大切なのである。

第3は、一貫した取り組みだ。例えば、オペレーションのミスは頻繁に起きがちなリスクである。だが、教育や日頃の訓練によってその頻度を引き下げることは可能だろう。

リーダーやスタッフが変わっても、そうした教育・訓練を一貫して行えるような仕組みを作り上げておけば、リスク管理の体制が崩れることはないのだ。

また、こうした「組織的」で「継続的」、なおかつ「一貫した」取り組みを実践するためにも、そのよりどころとなる「情報セキュリティ・ポリシー」の策定は不可欠である。

事前準備と体制づくり

リスク管理のもう1つの重要な役割は、恐れていた危機が現実になった場合の対応である。例えば、顧客データが漏洩したとき、あるいは地震で生産システムがダウンしたときにどう対処すべきかを決めておくことも、リスク管理の1つなのだ。ちなみに、こうしたリスク管理を実現する際には、先に紹介した「シナリオ分析」のように、リスクが現実化した場合のシナリオを作成して、その対応方法を日常的に訓練しておくことをお勧めしたい。

頻度の高いリスクは当然のこととして、20年に1度ほどしか発生しないリスクであっても、重大な損害・影響をもたらすと思われるリスクについては、しっかりとしたシナリオを作成しておかなければならない。

もちろんこの種のリスクにおいても、組織的で、なおかつケース・バイ・ケースではない一貫した対応ということがポイントになる。

そして、リスクが現実のものになった場合にパニックに陥らないためにも、誰にその事実を報告すればよいのか、または誰がディシジョンするのか、さらには最終的には誰が経営トップに判断を仰ぐのかといったようなリポーティング・ラインも、事前に準備しておきたいものである。

こうしたリスク管理の体制づくりにおいては、CIOの果たす役割は非常に大きいと言える。リスクのありかを探り、それを可能な限り低くするための努力、または危機が現実化した場合にダメージを少なくするための組織づくりは、CIOが中心となって推進しなければならないのだ。

そのための取り組みを簡単にまとめると、まずは情報セキュリティ・ポリシーを策定し、それを周知徹底させると同時に、そのポリシーのチェック体制を作る。そして、危機管理のためのシナリオを作成し、日常的に訓練する仕組みを作る――ということになるだろう。

ただし、誤解のないようにしたいのは、これらのリスク管理はネガティブなスタンスではなく、ポジティブに、そして明るさを持ったスタンスで取り組むべき課題であるということだ。なぜなら、セキュリティの向上はあくまで、ビジネスを順調に進めるための手段なのだから。