第5回 セキュリティ構築のスタートはITリスクの分析と理解からリスク分析とセキュリティ
CIO MAGAZINE 2000年11月号掲載
前回は情報の“棚卸し”、すなわち「どの部署に、どんな情報があり、それがどのように活用されているか」を把握することの重要性について述べた。
この作業を通じて、企業は自社のビジネスにとってそれらの情報がどの程度の価値を持つかを知ることができ、セキュリティを確保するうえでのガイドラインを策定することが可能になる。
では、それを終えたとして、その次になすべきことは 何なのだろうか。それは、企業にとって重要な 情報が「どのような危険にさらされているのか」、あるいは「今後、何らかの危険にさらされる 可能性はあるのか」を分析し、評価することである。
こうした分析・評価によってリスクについての 予想を立てることができれば、それを回避するために「どのようなセキュリティ対策を講じればよいか」という命題が自ずと明らかになってくるのだ。
見過ごされがちなIT投資のリスク
企業の経営者はリスクに敏感だ。例えば新しい工場を建設して増産を図るという事業計画を立てる場合、投資額はどれくらいか、マーケットの成長はどうか、競合他社の出方はどうか、順調に生産量が推移したとして投資の元がとれるのはいつごろになるのかなど、あらゆる視点からその計画を検討し、それに伴うリスクを徹底的に分析する。それぞれのリスクを計量してシミュレーションを行うのも当たり前のことになっている。
では、IT(情報技術)投資についてはどうだろうか。例えば、全社にグループウェアを導入するというとき、そのためにどれだけの投資が必要かということはもちろん把握しているだろうが、それを導入する効果や導入に伴うリスクは把握できているのだろうか。
グループウェアは、単に導入するだけでは効果は期待できない。社内全体で利用してこそ生産性の向上などといったかたちで効果を手にできるのだ。適切に利用しなければ、それこそ宝の持ち腐れとなり、いつまでたっても投資の元は取れないのである。
また一方で、グループウェアを導入し情報を共有する社員が増えれば増えるほど、情報漏洩のリスクは高まる。ところが、今日の企業においては、情報投資にかかわるそうしたさまざまなリスクが正確に把握されておらず、それに対する対応策もないというのが実情のようである。
IT投資に伴うリスクも事業リスクの1つである。新規事業を立ち上げたり、工場を新設したりする場合と同様に、全社にグループウェアを導入する際にも、その期待効果をしっかりと算定しておくべきだし、それに伴うリスクを徹底的に分析し、その対応策を事前に用意すべきである。
恐らく、IT投資のリスクが見過ごされがちなのは、その効果が金銭的に定量化できないケースが多いことに1つの要因があろう。例えばグループウェアを導入して生産性の向上を図るとしても、それが金額としてどれだけの利益になるのかを算出するのは難しい。
また、何度も繰り返すように、「情報システムについては専門外、システム部門に任せる」という経営者が少なくないこともITのリスクが軽視されてきたもう1つの要因と考えられる。
リスクの理解と分析のプロセス
ITのリスクは何らかのインシデント(ネットワークへの不正侵入や妨害などの事象)によって初めて顕在化する。つまり、セキュリティが破られ、被害が発生して初めて、リスクの存在が分かるということだ。したがって、万一のインシデントに備える適切な緊急時対応計画(コンテンジェンシー・プラン)はもちろん必要だが、それ以前の問題として、適切なリスクの評価と管理が求められる。とすれば、どうしたらそれができるのだろうか。
企業の情報の多くは各部門、各担当者が抱えている。よって、何が重要な情報かということも、その情報を利用する部門、担当者ごとに異なるかもしれない。しかし、情報の重要性について、それを利用する部門や人が最も深く理解していると考えるのは、実は企業が陥りやすい誤りなのである。
各部門、各担当者が抱えている情報も、すべて会社の資産であり、その重要性は会社の事業、コア・コンピタンスとのかかわりで決まってくる。よって情報を利用する部門や担当者ごとの重みづけが、会社としてのそれと同じであるのが本来の姿であろう。
この視点に立つならば、セキュリティ・システム構築のために全社の現状を分析して、情報のランクづけを行うことが何よりも重要なのは明白だ。というのも、これがしっかりとできていることが、リスク分析・評価の大前提となるからである。
情報のランクづけができたら、それぞれの情報がさらされている、あるいは今後さらされる可能性のあるリスクについての分析に入ればよい。具体的には、「その情報が現在どのように活用されており、どのように管理されているのか」また、「いかなる場合にそれが漏洩し、その場合にはどのような損害が予想されるのか」といった事柄について1つ1つ分析を試みていけばよいのだ。
このプロセスで重要なのは、リスクそのものについて正確に把握することよりも、むしろどのようなリスクが予想されるのかを理解することだ。つまり、現在の情報活用の流れ、その情報へのアクセスの権限、管理の現状をチェックし、どのようなリスクが想定できるのかを知ることがまず必要になるのである。
企業に不可欠な事業リスクとしての視点
それぞれの情報についてどのようなリスクがあるのかを想定し理解したら、次はそのリスクをランクづけする。ランクづけの基準となるのは、会社とその事業展開に対する脅威、重大性である。これらは部門レベルあるいは担当者レベルで評価してはならない。ITリスクをあくまでも事業リスクの1つとしてとらえる視点が不可欠なのだ。
要するに、それぞれの情報リスクについて、それらが会社や事業に対してどんな損害をもたらす可能性があるのか、損害の規模はどの程度なのかを計り、個々の重みに応じてランクづけをしてみることが重要なのである。こうしたリスクの重みづけ、評価がしっかりとなされていなければ、当然、リスク管理もできないし、適切な対策を講じることもできない。
このようなリスク分析と評価はシステム・プランニングの過程で行うことになるが、その際には必ず守るべき情報と、そうでない情報とをどう選別 していくかが問題になるだろう。というのも、すべての情報を守るとなると相当なコストがかかるからである。こうしたコスト面 での考慮も含めて、ITリスクを事業リスクの1つとしてとらえ、これをバランスよく評価していくためには、やはり責任を持ってその判断を下す専門職が必要になるだろう。CIOの必要性はここでも明らかだ。
ともあれ、このようにして、どういった情報リスクがあるかを理解し、ランクづけを行って初めて、次のステップである全社の情報ポリシーの策定へと進むことができる。 また、こうして全社の情報ポリシーを決めたうえで、実際のシステムがそのポリシーに従った設計になっているのか、またその構築や運用がなされているのか、あるいは社員の認識が追いついてきているのかといったことを把握しなければならない。そうすることで、万全のセキュリティの実現に向けた次のアクションを起こすことができるのである。
