リスクが特定できたら、次はリスクごとの影響の大きさ(重要性や緊急性)と可能性を算定して、どのリスクから優先的に対応すべきか検討しなければならない。一般的には、リスクの影響の大きさと可能性を掛け合わせた値が大きいものから、高い優先順位を付けていく。
前述した例では、以下のような評価がされることになる。
○「委託倉庫の過失による誤入力や紛失、悪意による窃盗や横領」
・影響の大きさ(重要性や緊急性)4.5(重要性5、緊急性4)
・可能性4
・優先順位1位(4.5×4=18)
○「正当な権限を持たない者による不正取引をするためのあるいは不正取引を隠すためのデータ改ざん」
・影響の大きさ(重要性や緊急性)4(重要性5、緊急性3)
・可能性3
・優先順位3位(4×3=12)
○「仕入れ先や委託先の不適切行為による品質不良や業務障害の発生」
・影響の大きさ(重要性や緊急性)4(重要性5、緊急性3)
・可能性4
・優先順位2位(4×4=16)
最後にリスクへの対応を考えるときは、固有リスクと統制リスクの両方を考えることになる。
まずは、固有リスクを解消するための対策として、前述した例では「委託倉庫への定期的な業務点検の実施」や「マスタメンテナンスに対するアクセス制限」「業者選定基準の策定と発注承認チェック」などの統制活動が考えられる。
しかし、これらの統制活動自体が怠慢などによって実施されなかったりする可能性が残るため、「業務点検記録の確認」や「ユーザーIDやパスワードの運用状況の確認」「承認記録の確認」といった有効性評価を、内部監査などで行うことまで計画するのである。
こうした二段構えの考え方は、日本版SOX法対応だけでなく、ISMS情報セキュリティマネジメントシステムなど、リスクマネジメント一般にいえることなのである。
リスク対応で注意しておかないといけないことが幾つかある。
残存リスクと派生リスク、対立関係リスクの3つである。残存リスクとはリスク対策を講じたにもかかわらず、残ってしまうリスクのことであり、派生リスクとはリスク対策を講じた結果、そのリスク対策に起因して新たに発生するリスクのことであり、対立関係リスクとは、講じたリスク対策同士の対立関係に起因して新たに発生する副作用的なリスクのことである。
情報セキュリティを例にして見ていこう。残存リスクはファイアウォールをすり抜ける不正アクセスやウイルスチェックをすり抜けるウイルスなどがこれに当たる。
アクセスログやインシデントログを分析するのも、定期的にディスク全体のウイルススキャニングするのも残存リスク対策として必要なのである。派生リスクは障害対策用に作成されたバックアップが盗難に遭うことや暗号通信用の秘密鍵を紛失するなどがこれに当たる。バックアップ媒体や秘密鍵に対する施錠管理やアクセス制限が考えられる対策である。対立関係リスクは暗号メールに対するウイルススキャン漏れやSSHを利用したVPNに対する監視漏れなどである。
暗号化メールでは送信者側で暗号化前にウイルススキャンし、受信者側で復号前にウイルススキャンすればよい。
セキュリティホールはこれら、残存リスクと派生リスク、対立関係リスクによるものであり、リスク対策を講じて安心してしまっているという心理的なすきと相まって大きな危険性を生み出しているのである。
今回はリスクアセスメントの内容について詳しく解説した。城の補強は一番弱い所から始めるべきだ。真田幸村が大阪城に築いた出丸も、またリスクアセスメントの結果から導き出された戦略だったに違いない。
次回は、不正や事故、そしてセキュリティホールをも引き起こす大きな要因である人の心理面について取り上げてみたい。
不正をする方もされる方も、心の中に根本原因がある。そして、その心の弱さを突いてくる不正技術がソーシャルエンジニアリングだ。
情報セキュリティや内部統制で強固に守りを固めた組織でも、ソーシャルエンジニアリングに対する防衛知識がないと、いとも簡単に突破されてしまう。防犯技術としても不可欠となるソーシャルエンジニアリングへの対抗策について述べてみたい。
杉浦 司(すぎうら つかさ)
杉浦システムコンサルティング,Inc 代表取締役
京都生まれ。
京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。
Copyright © ITmedia, Inc. All Rights Reserved.