情報セキュリティ対策レベルの決め方：情報セキュリティガバナンスを確立せよ（3）（1/2 ページ）

情報セキュリティガバナンスには、設計力、実装力、運用力、管理力、表現力の5つの力が求められる。今回は、このうち設計力に焦点を当て、トップがいかにして情報セキュリティにおける許容リスクレベルについて意思決定すべきかを解説する

[大木栄二郎，工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問]

　前回の記事「情報セキュリティガバナンスの5力とは」で説明したガバナンス5力のうち、今回は第1 の力である「設計力」を取り上げ、その中でももっとも取り組みが遅れている「トップによる許容リスクレベルの意思決定」に焦点を当てて解説しよう。

　許容リスクレベルの意思決定とは、情報セキュリティ対策をどこまで行えばよいかを合理的に定めることであり、この決定の合理性について利害関係者から支持を得られるものでなければならない。

　そのためには、リスク分析手法に基づく許容リスクレベルの決定、委託元・委託先との情報セキュリティレベルの統一、他社の情報セキュリティレベルとの相対比較による確認、の3つのステップを踏む必要がある。これらを順に説明していこう。

リスク分析手法に基づく許容リスクレベルの決定

　まずは、自社が事業環境において直面しているリスクの分析と評価の能力を持たなければ、「設計力」を語ることはできない。これまで、リスク分析や評価の難しさが、これに取り組まない理由の1つに挙げられていた節もあるが、そのような言い訳はもはや通用しない。

　経営者がいかにこの問題に取り組むべきかを中心に考えてみよう。

1. リスク評価手法の概観

　情報セキュリティにかかわるリスクは、情報資産の価値、それを狙う脅威、情報資産を守る仕組みに内在する脆弱性、の3要素からなる。

　情報資産を保護する対策を「盾」とすると、これを狙う脅威が「矛」であり、保護策である盾のひび割れなどの欠陥や弱点が脆弱性である。すなわち、脅威は対策の弱点を突いて資産に影響を与えるというようにモデル化する。

　そして、結果としての影響の大きさを、起きる確率と起きた場合の影響の大きさの積で表し、どの程度の値までを経営として甘んじて受け止めることができるかが、許容可能な残留リスクということになる。

　このモデルにより、リスクを下げるには、（1）取り扱う情報資産の価値を下げる、（2）脅威が少ない事業環境を選ぶ、（3）自社の仕組みの脆弱性を少なくする、の3つの方策があることが分かる。

　リスク対応策には、リスクを下げる低減策に加えて、事業領域を変更するなどによるリスク回避策や、保険などによるリスク移転策もある。

2. 経営者はどのように対応すべきか

　合理的な情報セキュリティレベルの決定には、このようなリスク評価の枠組みが不可欠であり、経営者には、このような枠組みを利用して、主体的に許容リスクレベルを定めることが求められる。

　リスク評価の枠組みの確立は、技術的な取り組みである。リスク分析評価担当スタッフを任命し、合理的な枠組みの確立に取り掛かるのがよい。経営企画のメンバー、あるいはCIOスタッフ、IT部門のメンバーなどが候補になろう。最初から完璧な枠組みを求めるよりも、網羅的な体系を目指し、次第に精度を上げていくことが肝要である。

　そのうえで、経営者として意思決定できる仕組みを組み込んでいかなければならない。すなわち、リスク分析評価担当スタッフの検討した素案をベースに、経営者として保有可能な許容リスクレベルの意思決定を行い、その後の具体的施策に展開する明確な意図を持たなくてはならない。当初の枠組みの確立には、外部の専門家の助けを借りることも有効であるが、その後は自前でリスク評価の制度を高めていく覚悟を持たなければならない。

3. 経営者は何を意思決定するのか

　経営者が行うべき意思決定は、リスク対応方針の決定であり、その核心は保有可能なリスクレベルの設定にある。すなわち、リスクの大きさを客観的に把握する指標を定め、どの程度のリスクまで経営として甘んじて受けるか、どの程度を超えるリスクには追加のリスク対応策をとらねばならないかを、実際に事象が発生した場合の経営への影響を考慮して定めることにある。このような明確な意思決定のないままに、企業の存続に大きな影響を与えかねないリスクを放置するのでは、経営者は無責任のそしりを免れ得ない。

4. リスク評価スタッフの役割

　リスク評価スタッフの役割には、大きく分けて3つある。リスク分析評価手法の確立、その手法を用いた現状のリスク分析と評価の実施、そしてリスク評価結果の解説とリスクの大きな分野についてのリスク対応案の検討の3つである。リスク評価の結果を経営者に分かりやすく伝えて、的確な意思決定を支援するのも、スタッフの重要な使命ということになる。

　その有効な手段として、経営者とリスク評価セッションを開催することをお勧めしたい。経営者は、このセッションを通じて、難解なリスク分析･評価の手法について実際的なイメージを持つとともに、その評価結果について具体的な理解を深めることができる。

　リスクが大きいと評価された分野から順に検討を始め、これくらいのリスクなら甘んじて受けようというレベルを経営者の実感として受け止めてもらうこともできる。リスクの大きさに実感が持てる方法として、影響が生じ得る確率（頻度）の推定と起きた場合の影響の具体例などが示せるとよい。

　この経営者とのリスク評価セッションで、リスク評価の見直しも起きるであろうし、リスクレベルの具体的な把握につながるはずである。その中で、経営者が自社のリスクの状況について、一定の感覚を持つことがきわめて重要である。