「2ちゃんねるは危ないから」とフィルタリングをかけたり、外部攻撃が怖いからファイアウォールを設置といった処置を取る企業が多いが、「その対策をなぜ行うのか?」を考えたことがあるだろうか。「企業を危険から守るためには何を考えなければいけないのか?」について、今回は説明する。
2ちゃんねるは危ないからフィルタリングして閲覧禁止にしようとか、インターネットから不正アクセスされるかもしれないからファイアウォールを設置しようとか、何となく正しいように思えることであっても、その理由を詳しく説明できる人は少ない。
2ちゃんねるなどは、確かに社員による不適切な書き込みを防ぐためにフィルタリングする必要があるのかもしれないが、社員全員が見えないということは、自社に対する不利益な書き込みがあった場合でも、誰もそれを知ることができないというデメリットもある。
インターネットからの不正アクセス問題についても、外部からだけでなく内部からの不正アクセスにも配慮しなくてはならない。
例えば、最も簡単な社内データの盗聴方法は、すべてのパケットが通過する単純ハブに盗聴用のパソコンを設置してパケットを解析する方法だ。
「スイッチハブだから大丈夫」だと安心していても、スイッチハブとケーブルの間に単純ハブを置いて盗聴用のパソコンを設置されてしまえば無力だ。「うちのセキュリティは頑丈だ」という会社ほど、ネットワーク機器の周りに注意を払っていなかったりするものだ。
情報セキュリティ上の具体的な対策については今後説明するとして、「会社を危険から守るには何を考えなければいけないのか?」ということについて、今回は考えてみたい。
実は「危険」という言葉自体があいまいなのだ。
そもそも、「危険」という言葉には、ハザード(hazard)、ペリル(peril)、リスク(risk)というまったく異なる3つの概念が存在する。しかし、日本では通常区別せずに使われている。
ハザードとは、損失を発生させたり増大させたりする間接的な要因を指す言葉だ。ペリルとはハザードによって引き起こされる事故で、まさに損失を現実のものにする直接的な要因だ。そして、リスクとはハザードとペリルが原因となって、損失が発生する可能性のことであり、その大きさは起こりやすさ(脅威×脆弱性)と被害の大きさ(重要性、影響度)などから算定される。
“損失が発生するかもしれない”という漠然としたリスクの意味で、「危険」という言葉を使うのではなく、“原因としてのハザードとペリルを明確に見据えた上でのリスク”という意味で、「危険」という言葉を使うべきなのである。
JIS Q 2001:2001「リスクマネジメントシステム − 構築のための指針」(以下、JIS Q 2001)は、阪神・淡路大震災や地下鉄サリン事件といった社会的に重大な事件の発生を受けて、平成13年に制定されたものだ。
JIS Q 2001は、
という7つの原則を提示している。
「リスクマネジメント方針」では、組織の最高責任者が「リスクマネジメントに関する方針」を明確に定めることを要求している。リスクマネジメント方針は社員が判断に迷ったときに最後のよりどころとするものであり、どこの会社でも使えるような内容ではあまり意味がない。事業特性に合った行動指針となっていることが必要である。
「リスクマネジメントに関する計画策定」では、リスクの発見、特定、算定、評価が行われる。社内にあるリスクを網羅的に発見・特定するためには、事業の流れを追っていく方法や、部署別に洗い出す方法などがある。リスクの算定・評価では、前述したハザード、ペリル、リスクを区別した上で、発生頻度や影響度を考慮して優先対応すべきリスクを選定する。そして、選定したリスクに対してどこまでリスクを軽減するか目標を定めた上で、具体的なリスク対策を策定する。
「リスクマネジメントの実施」では、策定したリスク対策について実施手順を確立することになる。誰もが手順を知っているのに手順書を作成するのはナンセンスであり、むしろ普段起こることがない緊急連絡や障害復旧といった手順こそ文書化しておくべきだろう。
「リスクマネジメントパフォーマンス評価及びリスクマネジメントシステムの有効性評価」では、計画したリスク対策が本当に有効に機能しているかについて検証してみることである。規程や手順書が整備されていても、理解されていない、順守されていないということでは意味がない。
「リスクマネジメントシステムに関する是正・改善の実施」では、効率が悪かったり、効果があまり上がらなかった活動を改善することが必要となる。場合によっては、廃止して新しい取組みに切り替えるといった柔軟な判断も必要だろう。何年も前に導入したまま放置されているセキュリティ対策など、もってのほかである。
「組織の最高経営者によるレビュー」では、経営陣がリスクマネジメントシステムの取り組みにおいて必要となる資源配分について意思決定することが重要だ。特に、「特定の人間だけにリスクマネジメントを任せておいて、予算や人事は考えない」では無責任だ。
「リスクマネジメントシステム維持のための体制・仕組み」では、部署ごとの役割(責任と権限)について明確にしておくことが必要である。あいまいな職務や役割重複、分担漏れなどがあるということ自体がハザードとなり、権限逸脱や業務の見落としといったリスクを生み出すことにもなるため、体制作りには十二分な慎重さが求められる。
また、仕組みでは特にリスクコミュニケーションが重要だ。事故が起こっても長い間報告されずに事態を悪化させるといった事件が後を絶たない。グループウェアを利用することも悪いことではないが、本当に機能しているのかについて吟味してみることが必要だ。
従業員や客先、取引先からの貴重なアラームも担当部署で止まっているかもしれない。
あらかじめ予測できなかったリスクであっても、迅速に対応することができれば、損失発生や増大を免れることができる。現場で起きていることが適切に知らされない司令室があってはいけないのだ。
Copyright © ITmedia, Inc. All Rights Reserved.