情報セキュリティを管理していくためには、どんなリスクが存在するかを評価する必要があります。これをリスクアセスメントといいます。
リスクアセスメントは企業ごとに実施され、担当者は情報資産のあらゆるリスクに対しての対処方法や予防策を講じる必要があります。そして基準とルールを設定して、社内で共有することが重要です。
まずはリスクアセスメントを考えるにあたり、何が対象となるのかを把握するために以下の項目ごとに、社内の情報を整理するところから始めます。
①情報資産の把握
情報資産に該当するものとして主に該当するものとしては、「顧客情報」、「事業で培ったノウハウ」、「業務におけるマニュアル」、「契約書」、「ソフトウェア内の作成データ」などが挙げられます。
これらの項目をそれぞれ、
「機密性(取扱者以外がみだりに使用できない)」
「完全性(情報の損傷や改ざんが行われない)」
「可用性(不具合が発生することなく情報の取り扱いができるか)」
に基づいて細かく精査することで、自社のガイドラインを定めます。
②起こり得るリスクと脅威の想定
①にて整理した情報ごとの具体的な重要度を定めます。
例として「顧客情報」について考えてみます。
取引先の企業情報や製品情報などが漏洩したり、紛失した場合どのような事態が発生し、業務遂行においてどのような支障をきたすかを想定します。
考え得る事態としては、責任問題の追及や取引の停止、損害賠償の請求などといったところでしょうか。その結果最悪の場合は、会社存続の危機に瀕する可能性も十分に考えられます。
このように、情報のリスクと脅威について具体的な想定を行い、視覚的に管理できるような仕組みを作ると効果は高いでしょう。
③リスクが発生し得る可能性の予測
情報資産がどのような形で漏洩や紛失するのかを想定します。
紙媒体やハードディスクなどの物理的なものについては、落下や衝撃、天災、盗難などの被害が想定されます。データであれば、操作ミスやマルウェアによる被害、落雷などの問題が挙げられると思います。
そして、想定される事態が実際にはどれくらいの頻度で発生し得るのかも、合わせて想定してみるとより効果的なリスクアセスメントの設定ができます。
残念ながら、リスクや問題に対して準備をしていたとしても、100%の回避や防御は不可能ですし、あれもこれもと対策する姿勢は良いですが、それに伴い時間もお金も必要になります。
どのレベルまでの被害は許容できるのか、どの部分は絶対に守りたいのかは企業によっても様々です。
自社でしっかりとリスクアセスメントの設定を行い、社内外問わず情報の共有とコミュニケーションをとることで、リスクコントロールにもつながり、対外的な信頼の上昇も見込めます。