リスクマネジメントを考える人
情報システム部門 2022年9月9日

組織の損失につながる情報セキュリティリスクの基本と種類

私は、今学習中の『IPA情報セキュリティマネジメント試験』についてブログを書いています。前回の記事からリスクマネジメントについて紹介していますが、リスクマネジメントについてはいろいろな工程があり、一度にまとめられないので連載で紹介しています。他の連載記事もぜひチェックしてください。

『情報セキュリティマネジメント』を少しでも身近に感じて頂き、みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。

リスクの基本と種類

リスクがもし発生すると、情報資産の漏えいや盗聴などが想定できます。それ以外にも社会からの信用損失や人的損失など様々なリスクが存在しています。リスクにしっかり対応できるように、関連する用語を詳しく見ていきたいと思います。

リスク

リスクマネジメントをして頭を抱えている人

リスクとは、まだ起こっていないことですが、もしそれが発生すれば、情報資産に影響を与える事象や状態のことです。すでに起こったことは、リスクではなく問題として処理します。まだ起こっていない、起こるかどうかが不確実なことを、リスクとして洗い出します。

普段、リスクという言葉を何気なく使っていますが、リスクは目に見えず、いろいろな場面をイメージしないと見えてきません。通常時からリスクを意識して、大きな問題に繋がらないように対策を考えておく必要があると思います。

リスク源

地震多発地域に組織の資産があり、地震で壊れてしまったビル

リスク源(リスクソース)とは、リスクを生じさせる力を持っている要素のことです。リスク源を除去することは、有効なリスク対策となります。

例えば「社内のネットワーク設備が停止して中核事業ができなくなる」というリスク(損害が発生する可能性)について考えると、「地震発生で回線が断線した」「火災発生で設備が焼失した」「メンテナンスミスが発生した」といったネットワーク設備停止につながる事象が考えられます。こういった事象の発生要因が「リスク源」になります。
この3つの事象では、「地震多発地域に設備がある(地震)」「火を使う行程がある(火災)」「要員のスキル不足」がリスク源にあたります。

リスク所有者

リスクマネジメントを行って、リスク所有者を決める

リスクを洗い出し、リスクとして特定したら、リスク所有者を決定する必要があります。リスク所有者とは、リスクの運用管理に権限を持つ人のことです。実質的には、情報資産を保有する組織の役員やスタッフが該当すると考えられます。

それぞれのリスクに、リスク所有者(リスクオーナー)を決定して、リスクの特定、分析、評価、対応などを行い、必要に応じてステークホルダー(企業活動に関わるすべての人のこと。 役員、従業員、地域住民、官公庁など)に活動内容を説明したりする必要があります。リスクオーナーを決めることによって、リスク管理の抜けもれ防止につながるようです。

リスクの種類

リスクマネジメントを怠った結果、問題が発生して困ってる人

組織を脅かすリスクには様々な種類があります。次のようなものが代表的なリスクの種類です。

[財産損失] 火災リスクや地震リスク、盗聴リスクなど、会社の財産を失うリスク
[収入減少] 信用やブランドを失った結果、収入が減少するリスク
[責任損失] 製造物責任や知的財産権侵害などで賠償責任を負うリスク
[人的損失] 労働災害や新型インフルエンザなど、従業員に影響を与えるリスク

その他、外部サービス利用のリスク、サプライチェーンリスク※1、SNSによる情報発信のリスク、モラルハザード※2、オペレーショナルリスク※3など、様々なリスクがあります。

※1 委託先を含めたサプライチェーンの一部で生じた事故・問題で影響を受けるリスク
※2 保険をかけたことによって過信して、リスクを伴う責任感が欠けた行動を行うこと
※3 通常の業務活動に関連するリスクの総称(例:事務ミス、システム障害、不正、災害等)

リスクの種類を学習すると、リスクを整理して分類できることが分かります。リスクマネジメント(リスクの特定、分析、評価、対応など)をする際、意識したい内容です。

リスク定量化

情報セキュリティリスクを数値化する

リスクは、その重要性を判断するため、金額などで定量化する必要があります。リスク定量化の手法としては、年間予想損失額の算出、得点法を用いた算出などがあります。

いろいろなリスクを分析する時、全て一定の基準で数値化すると、瞬時で重要性を確認できます。
発生確率、影響範囲、被害額などで重要度のレベル分けをして算出します。


※このブログ記事は、「情報セキュリティマネジメント教科書」を引用しています。また、その他にも下記の記事の一部を引用しています。

徹底攻略 情報セキュリティマネジメント教科書
株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著

ITを取り巻く脅威とリスクを熟知して管理するリスクマネジメントとは? 
株式会社ワイドテック

リスク管理Navi_リスクマネジメントの情報サイト_リスク源
リスク管理Navi_リスクマネジメントの情報サイト_リスクオーナー
ニュートン・コンサルティング株式会社

オペーレーショナルリスク
神戸大学大学院 経営学研究科 現代経営学専攻(MBAプログラム)

情報セキュリティのご担当者さまがリスクマネジメントの検討をしている場合、いろいろな工程を経てリスクに対抗していかなくてはなりません。一人で考えるのではなく、各事業部の担当者も巻き込んで組織全体、また必要があれば外部にも相談して取り組んでいく必要があると思います。

「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。

弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

記事の著者:

Web制作ならアズシエルにご相談ください。

Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!

サイトの制作も運用も月額定額料金でプロにお任せできるサービスのバナー

この記事をSNSでシェアする!