情報資産のリスクマネジメント  | 序論 | リスク評価方法 | リスク評価実践 | リスク処理 |

16: 残存リスクの処理

 少々くどくなりますが、リスク値がより高く、残存リスクが残っている情報資産を優先に、 リスクを低くする処置を講ずるのがリスク管理の基本でした。

 ここで、記入例を再度みて、どれがリスク値が高いのか確認してみましょう。

 経理データベースが一番高いですね。そして、残存リスクも多いです。
よって、経理データベースを優先的に対策するのがベストでしょう。


16: 処理内容の選択

 前項の経理の例では、残存リスクとして、停電時の損失、高温時の破損・損失、パスワード管理不十分による意図的脅威が挙げられています。 これに対する処置として、UPS(無停電電源装置)の設置、空調の効くサーバールームを設置、パスワードを毎日変更する・・・等、いろいろ案があると思います。

 しかし、国際基準においても、無理して会社の規模や状況に合わない措置を選択することまでは規定していません。 会社の規模に合わせて徐々にステップアップすればいいわけですので、例えばサーバールームのような高額設備投資をしなくても、 サーバーラックを設置し、空気の流れを良くする、という処置でも構いません。 このように、処理の具体的な内容というのは、会社の規模や状況に合わせて一番適した方法を選択すべきです。


17: 総括

 まだ未熟な情報システム担当者になると、『某大手企業ではこうしていますので、我社もこうすべきだ』という意見を言ったりします。 もちろん危機感を持つことは良いことですが、やみくもに大手企業のやり方を真似るのはどうかと思います。

 前述したとおり、会社はそれぞれ規模や状況が違います。大企業ではすぐにできることでも、中小企業ではなかなかできないことがあります。 大手企業のようにドアに暗証番号を設置して社員しか入れないようにするのがセキュリティ上ベストかもしれませんが、 中小企業にそれらのシステムが本当に必要なのかと考えると、いささか疑問が残ります。

 PDCAサイクルという言葉のように、物事を計画・実行するにはそれなりのプロセスを経由する必要があります。 “大手企業に合わせる”というだけでは、その理由に合理性が相当欠ける気がします。

 リスクアセスメントの手法は、最も合理的な管理手法の一つと思います。 改善提案をスムーズに上司に承諾してもうためにも、この手法はお役に立てられると思います。