こんにちは。はなくとです。
今回は、セキュリティリスクに対しどのような対応方法があるのか書いていきたいと思います。セキュリティリスクへの対応方法は大きく4つに分類できます。
1.リスクの低減
2.リスクの保有
3.リスクの回避
4.リスクの移転
それぞれについて詳しく説明します。
1.リスクの低減
「リスクの低減」とは、自組織や情報システムが持つ脆弱性に対してセキュリティ対策を導入することにより、脅威発生の発生頻度を低減させることです。
また、セキュリティ対策は、認証、暗号化等の「技術」、組織に所属する人員の教育等の「管理」、パソコンのワイヤーロック等の「物理」的な対策の3つに大きく分けられます。
リスクの発生頻度が高く、リスク発生時の影響度が大きい場合に「リスクの低減」策がとられることが多いです。
リスク発生時の影響度は、金銭や社会的信用の失墜等から決定します。こちらの記事を参考にしてください。
2.リスクの受容
「リスクの受容」とは、リスクに対する対応を行わず、リスクを受け入れることです。リスクの発生頻度が低く、リスク発生時の影響度合いが小さい場合や、費用に見合ったセキュリティ対策が存在しない場合に「リスクの受容」策がとられます。
3.リスクの回避
「リスクの回避」とは、脅威の発生源を無くしてしまうことによってリスクが発生する可能性を無くしてしまうことです。例えば「外部インターネットからの不正アクセス」という脅威があった場合は、外部インターネットの業務利用をやめてしまう、という対応を取ります。
リスク発生時の影響度が極端に大きくリスクの発生頻度が高い場合や、リスク発生時の影響度の割に得られるメリットが少ない場合に「リスクの回避」をとることがあります。
4.リスクの移転
「リスクの移転」とは、リスクを別の組織等に移し、自組織の責任範囲外としてしまうことです。例えば、SOCを他組織に委託したり、サイバー保険を利用することが該当します。ただし、注意しなければならないのは、全てのリスクを移転できる訳では無いという点です。前述した例では、金銭的な補償は得られますが、情報漏えいによる、社会的信用の失墜や流出した機密情報の悪用による競争力の低下等は保証されません。
リスク発生時の影響度が高く、リスクの発生頻度が低い場合に「リスクの移転」が選択されます。
5.リスク対応の決め方
前述したように「リスクの低減」、「リスクの受容」、「リスクの回避」、「リスクの移転」について、選択の決定要因となるのは、「リスク発生時の影響度」と「リスクの発生頻度」の2つです。図で表現すると下記のようになります。
6.まとめ
セキュリティリスクに対応する方法は、
・「リスクの低減」、「リスクの保有」、「リスクの回避」、「リスクの移転」の4つあり、
・「リスク発生時の影響度」と「リスクの発生頻度」を考慮して選択する
おしまい。