aaaiiuie

学習(備忘録)のため運用

情報処理安全確保支援士 4.2 リスクマネジメントとリスク対応

情報処理安全確保支援士

リスクマネジメントとリスク対応

業務や情報システムに内在する様々なリスクを分析・評価し、適切な処置を施すことで、損失発生の可能性を最小限に止めるために、組織を指導し、行われる一連のリスクマネジメントである。リスク分析やリスクアセスメントもリスクマネジメントの中の一つのプロセスと位置付けることができる。 一方リスクアセスメントによって洗い出されたリスクに対処することをリスク対応という。ここでは、リスクマネジメント全体の流れとリスクの対応の概要について解説する。

4.2.1 リスクマネジメントのプロセス

リスクマネジメントには1リスクアセスメント、2リスク対応方法の洗い出し、3リスク対応の実施、4リスク及びリスク対応方法の見直しの4つのプロセスがある。

企業環境や情報システムを取り巻くリスクは常に変化するとともに、ITかの進展や組織の拡大にお伴って増加し続けている。こうしたリスクの変化に対処するためには、各プロセスをい一貫性のものにすることなく、継続的に繰り返し実行していく必要がある。

リスクマネジメントのプロセス

  1. リスクアセスメント(リスク分析・リスク評価)
    リスクアセスメントとは、4.1.3で解説したように顕在化すれば損失をもたらすリスクが、リスクマネジメントの対象となる組織や情報システムのどこに、どのように存在しているのかを発見・確認し、その大きさを確定・評価することがである。

  2. リスク対応方法の洗い出し
    リスクアセスメントの結果を受け、損失を最小限に押させる適切なリスク対応方法を洗い出す。なそ、リスク対応については4.2.2 で解説する。

  3. リスク対応の実施
    洗い出されたリスク対応方法と、予算や組織などの兼ね合いによって、実際に実践するリスク対応作(セキュリティ対策)を決定し、実施する。なお、決定されたリスク対応方法は情報セキュリティポリシにも確実に反映させる必要がある。

  4. リスク及びリスク対応方法の見直し
    リスクそのもの及び実施済みのリスク対応方法を定期的に見直し、必要に応じて改善することで、リスク対応の効果を維持する。

4.2.2 リスク対応の概要

リスクアセスメントはリスクマネジメントの中の重要なプロセスだが、その後の対応方法が間違っていたのでは無意味である。リスクの大きさ、特性、顕在化の可能性、情報資産の重要度、予算などを勘があわせ、最適なリスク対応方法ほうを決定することが重要である。
リスク対応には、大きく分けてリスクこんんトロールとリスクファイナンシングがある。

リスクコントロール

リスクコントロールとは、潜在的なリスクに対して、物理的対策、技術的対策、運用管理的対策によって、発生を抑止したり、損失を低減させたりすることである。一般的なセキュリティ対策がこれに該当する

リスクコントロールの具体例

  • 物理的対策
    入退室管理設備、ぼうか・某数・耐震設備、無停電電源設備
  • 技術的対策
    アクセス制御、暗号化、ユーザー認証、マルウェア対策
  • 運用管理的対策
    情報セキュリティ方針・基準の策定と運用、セキュリティ教育の実施、不足事態発生に備えた訓練の実施、セキュリティ監査

リスクファイナンシング

リスクファイナンシング(リスクファイナンスともいう)とは、リs区の発生を抑止したり、損失を提言したりするための対処ではなく、リスクが顕在化して損失が発生した場合に備えて、損失の補填や対応費用などの確保をしておくことである。 リスクコントロールをいかに施したとしても、リスクが顕在化する可能性をゼロにすることはできない。そのため、そうした不足じたいの発生に備えて資金面での対策を講じておくことも大変重要である。 大規模な地震など、発生頻度が低いにもかかわらず、いざ発生したさいには甚大な被害を及ぼすことが想定されるリスクに対しては、リスクコントロールに加え、保険をかけるなど、シルs区ファイナン詩吟具による対策を講じておくことが望ましい。

リスクファイナンシングの例

  • 保険を利用して不足じたい発生時の対応費用を組織外に転嫁
  • 不足じたい発生時に備え、引当金・準備金・積立金などの名目で組織内に対応費用を確保

リスクの受容

リスクコントロール土地ルクファインアンシグを行っても、まだ対処しきれないリスク(残余リスクまたは残留リスク)が残る。最終的に残ったリスクに対しては、そのリスクの大きさとリスク対応に投じることが可能な予算との兼ね合いによって取扱の方法が決まる。 リスクの存在を確認しながらも、その強度や予算などの兼ね合いにより、あえて対処を行わない選択をすることもあり、それがリスクの受容である。リスクの受容においては、組織としての判断基準をあらかじめ明確に定めておく必要がある。

4.2.3 リスク対応手法の種類

リs区対応で用いられる各種の対策は、その考え方やリスクへのアプローチ方法などによって、いくつかの手法に分類することができる。リスクの特定や強度に応じて、適切な対応手法を選択する必要がある。

リスクコントロールにおける対応手法

リスクコントロールにおける対応手法は、大きく①リスク回避、②リスク低減、③リスク移転、の三つに分類できる。リスク低減はさらに、損失予防、損失軽減、リスク分離、リスク集中に分類できる。

リスクコントロールにおける対応方法の例

リスクファイナンシングにおける対応手法

リスクファイナンシングにおける処理手法には、①リスク保有、③リスク移転の二つがある。なお、リスク移転はリスクコントロールの手法にもあるが、リスクファインアンシグにおけるリスク移転とは意味合いが異なる。

リスクファイナンシングにおける対応方法の例

なお、PMI(Project Management Institure)が発行しているプロジェクトマネジメントに関する知識体系であるPMBOKでは、リスクへの対応をリスク対応戦略として次のように分類している。

  • 回避:リスクの影響を避けること
  • 転嫁:リスクの影響を第三者に移転すること
  • 軽減:リスクの発生確率と影響度を受容できるレベルまで低減すること
  • 受容:リスクの影響を受け入れること

リスクマネジメントに関する規格

ISO31000:2018/JIS Q 31000:2010(リスクマネジメント 原則及び指針) PDCAモデルに基づき、あらゆる組織が全てのリスクをうん尿管理するための汎用的なプロセスと当該プロセスを効果的に運用し、継続的に改善していくためのフレームワークが提示されている。認証企画としての使用は前提としていない。