セキュリティだけじゃない、企業はデジタルリスクにどう対処すればよいか：Weekly Memo（2/2 ページ）

[松岡功，ITmedia]

企業に求められるデジタルリスクマネジメント

　次に「デジタルリスクをマネジメントするためにどのような手順を実行しているか」を聞いた調査結果が、図3である。グラフの左側に記されている手順の内容からすると、最後の「手順を実行していない」を除けば、下の項目に行くほど深く対応していることを示す。

図3　デジタルリスクをマネジメントするための手順

　貴島氏はこの結果について「該当するものを全て選択できるので、上から5番目の『リスクを評価または優先順位付けしている』まで半数の企業が実行していることになる。これは高い数値だと見ている。私の感触からすると、もし日本企業を調査したら相当なギャップがあるだろうと推察する」と述べている。

　ただ筆者が気になったのは、例えば一番上のアクションについて、逆に言えば40％の企業が実行していないとも読み取れる点だ。言葉遣いとして「考えられるリスクについて」と問われると「そこまでは…」と感じた企業の割合が40％だったのかもしれない。

　貴島氏は図3のような手順を踏まえ下記のサイクルを回す「デジタルリスクマネジメント」が今後、企業にとって非常に重要になると強調した。

1. 考えられるデジタルリスクの迅速な可視化
2. 可視化した内容を分析してリスクの影響度合いを把握
3. 問題があれば迅速かつ的確に対応

　EMCジャパンRSA事業本部では、そのデジタルリスクマネジメントをするための手だてとして「RSA Archer Suite」と呼ぶソリューションを提供している。その概要は図4に示すように人、プロセス、テクノロジー、情報を連携させて一元的に管理する仕組みとなっている。

図4　RSA Archer Suiteの概要

　具体的には、下記の7種類のソリューションと、35種類のユースケースを用意しており、企業の個々の状況に合わせて導入できるという。

• IT＆セキュリティリスク管理
• 全社リスク管理
• コンプライアンス
• 外部委託先管理
• 事業継続管理
• 内部監査
• パブリックセンター

　貴島氏によると「RSA Archer Suiteはデジタルリスクマネジメントのソリューションとして、これだけ幅広い領域をカバーしている数少ない製品の1つ」だという。

　あらためて、この製品の7種類のソリューションを見ると、図1で挙げたデジタルリスクの定義における6つの要素をほぼカバーしていることが分かる。この6つの要素もあくまでRSAデジタルリスクレポートの調査結果から捉えたものなので、まだまだ他の要素、さらには未知の要素もあるかもしれない。

　リスクマネジメントは周知の通り、経営の非常に重要な要素である。それはデジタルリスクマネジメントもまたしかり、だろう。