リスクとは
ある脅威が脆弱性につけこみ、損害を与える可能性をリスクといいます。
例えば、情報システムへの攻撃や火災によって可用性が失われれば、企業活動が困難になりかねません。同様にハッキングによって重要情報が流出して秘匿性が失われれば、その企業は競争力の低下や社会的信用の失墜によって甚大な損害を受けかねません。このようなものがリスクに該当します。
リスクアセスメントの手順
リスクの特定からリスク評価までの一連の活動をリスクアセスメントといいます。
リスク分析
リスク分析とは、組織やプロジェクトに影響を与える可能性のあるリスクを特定し、そのリスクの大きさ(発生確率や影響度)を評価・分析するプロセスです。
例えば、次のように
損失が発生する確率と被害額で評価できます。
リスクの大きさ = 発生確率 ✖️ 被害額
ただし、全てのリスクが常に具体的な数値で定量的に評価できるわけではありません。そのような場合は。相対的な数値や’大’・’中’・’小’といった等級に置き換えて定性的に評価します。
また、リスクの大きさを次のように情報資産の価値、脅威、脆弱性の組み合わせによって評価する場合もあります。
リスクの大きさ = 情報資産の資産価値 ✖️ 脅威 ✖️ 脆弱性
リスク対応
1.リスク低減
リスク低減とは、自社内や情報システムが持っている脆弱性(弱い部分)に対して、何かしらのセキュリティ対策を実施・導入することによりその発生頻度を低くさせることです。
2.リスク回避
リスク回避とは、発生すると予測されるリスクを回避する為に、リスクを無くしてしまおうということです。
例えば個人情報を貰って実施する業務があるとします。その業務をするにあたって個人情報を紛失・漏洩・滅失などのリスクが存在し、その事象が起きてしまうと会社存続にまで係る事だと考えられます。そうであるのであれば個人情報を受け取らない方法にする、そもそもその業務自体を辞めてしまおうという発想です。
3.リスク移転
リスク移転とは、リスクを別の組織(第三者)に移して、自分たちの責任範囲外にすることです。
例えば保険に入り、保険会社に対応してもらう考え方。
4.リスク保有(受容)
リスク保有とは対策を行わずにリスクを受け入れるということです。
例えばリスクはあるけれども発生頻度、リスクが発生した時の影響が小さいと判断した場合がこれに良く該当します。
(リスクの発生確率)と(リスクの大きさ)に対するリスク対応
その他のリスク対策
緊急事態計画(コンティンジェンシープラン)
コンティンジェンシープラン(Contingency Plan)は、日本語で「緊急時対応計画」や「不測事態対応計画」とも呼ばれます。これは、企業や組織が、地震や台風などの自然災害、事故、テロ、サイバー攻撃、システム障害、サプライチェーンの寸断など、さまざまな不測の事態に遭遇した場合に、事業への影響を最小限に抑え、迅速に事業を復旧させるための計画です。
- 緊急事態対応計画 ・・・ 緊急事態が継続している間の対応をまとめる
- バックアップ計画 ・・・ システムが完全復活するまでの計画
- 復旧計画 ・・・ 津城業務に復旧するための計画
関連用語
事業継続計画(BCP:Business Continuity Plan)
企業や組織が自然災害や事故などの緊急事態に遭遇した場合でも、事業資産の損害を最小限に抑え、中核となる事業を継続または早期に復旧させるための計画のことです。コンティンジェシープランと似ていますが、コンティンジェシープラン緊急事態が発生した直後の行動を想定してます。
ディザスタリカバリ(Disaster Recovery、DR)
災害やシステム障害が発生した際に、ITシステムやデータを迅速に復旧させるための対策や計画のことです。日本語では「災害復旧」と訳されます。自然災害だけでなく、サイバー攻撃や人為的なミスによるシステム停止も想定し、事業継続性を確保するために重要です。