情報セキュリティ リスクアセスメント(コンセプト)

SERVICE

リスクアセスメントは意思決定のためにおこなう

情報セキュリティに関するリスクアセスメントは多くの企業が実施しています。当社は、様々な企業のリスクアセスメントの事例、様々なリスクアセスメントツールに触れてきましたが、残念なことに「意思決定に繋がるリスクアセスメント」が実現しているケースは極めて少ないのが実情です。意思決定に繋がらないリスクアセスメントは極論すると無意味で非生産的な活動です。

リスクアセスメントはPDCAサイクルのP(PLAN)の一環としておこなわれます。ところが、意思決定にフォーカスされていないため、何も決まらない・決められない、という現象が起こりやすいと言えます。

誰が(どの部署が)主体になってリスクアセスメントをおこなうのか、という組織の問題もあります。情報セキュリティに、主体者として取り組む部署は企業によって異なります。法務部門、総務部門、内部統制担当部門、経営企画部門が主体となるケース(「管理系」とします)、システム部門が主体となるケース(「システム系」とします)のどちらかに分類されることが多いと思います。管理系が主体となった場合は、体系的なリスクアセスメントを構想しますが、「問題解決から遠い」アプトプットしか得られないことが多いです。一方、技術系が主体になった場合に、「問題解決には近い」のですが、技術に閉じた議論になってしまい経営層が判断をするのが困難になる傾向があります。

メソドロジーとフレームワークの転換

私たちは「意思決定に繋がるリスクアセスメント」を長年に渡り模索してきました。結論として、メソドロジーとフレームワークの転換が必要であることに気づきました。

PDCAサイクルはマネジメントシステムのベースとなるメソッドとして情報セキュリティの世界でも活用されています。確かに理論的には正しいのですが、実践的ではない側面もあります。そこで、OODAループという意思決定に特化したメソドロジーを採用することにしました。

また、情報セキュリティを「管理」だけ、「技術」だけに閉じ込めてはいけないと考えました。経営層、事業部門、IT部門を巻き込んで情報セキュリティの底上げをおこなうためには、ビジネス、組織、オペレーション、技術の4つの視点からアプローチする必要があります。それらをトータルに捉まえるためのフレームワークとして、Total Security Risk Assessment Framework (TRAF)を考案しました。

一般的なプロジェクトの流れ

一般的なプロジェクトの流れ

ナレッジ

情報セキュリティ リスクアセスメントに関係する管理策の解説や方法論をご紹介します。

サービスメニューはこちら