セキュリティ対策、中堅・中小企業向け「簡易リスク分析」のススメ:中堅・中小企業向け、標的型攻撃対策の現実解(2)(1/2 ページ)
リソースの限られた中堅・中小企業にとって、大企業と同等の頑強なセキュリティ対策を施すのは現実的ではない。今回は、まず取り組むべき「リスク分析」の手法を解説する。
まず行うべきは「リスク分析」
前回は、「サイバーセキュリティ経営ガイドライン」の概要を紹介した。今回は、実際にセキュリティ対策に取り組む際、多くの人が疑問に思うであろう「どこから手を付けるべきか」について説明していく。具体的には、「リスク分析」のポイントを解説する。
まず、あらためてサイバーセキュリティ経営ガイドラインの冒頭にある3原則を振り返りってみよう。この中のどこにリスク分析に関する要素が含まれているか、お気付きだろうか。
サイバーセキュリティ経営の3原則
- 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
- 自社はもちろんのこと、系列企業やサプライチェーンのビジネスパートナー、 ITシステム管理の委託先を含めたセキュリティ対策が必要
- 平時および緊急時のいずれでも、サイバーセキュリティリスクや対策、対応にかかる情報の開示など、関係者との適切なコミュニケーションが必要
冒頭の1.をさらに丁寧に読み解くと、「ITを活用して経営していく上で、何が重要であるかを踏まえ、どのようなサイバー攻撃があるか、どんな被害が発生するかを認識し、経営者がリーダーシップを持って対策を進めることが必要」と読める。
これこそがリスク分析(本来はリスク管理というべきだが、今回は分析と表現する)の本質であり、まとめると下図のようになる。
経営ガイドラインの冒頭に書いてあることからも、リスク分析・評価が重要であり、最初に取り組むべき活動の1つであることが分かるだろう。
リスク分析や評価は経営者なら常に実施しているもの
リスク分析や評価と聞くと、難しそうと思う読者も多いかもしれないが、決して特別なものではない。特に経営者であれば、何らかのリスク分析は常日頃から自然と行っているものだ。
例えば、海外から部品を仕入れている小さな町工場であれば、「円安に振れたら国内からの調達に切り替える」などという為替リスクについて普段から考えているはずだし、現在よく取り上げられる「働き方改革」が制度化されるまでもなく、多くの経営者は従業員の長時間労働などの労務リスクについて日々思案しているはずだ。為替リスクも労務リスクも経営目標を達成する上で必要な「守るべきモノ」に大きな影響を与えるからだ。
このように日々なんらかの形で実施している経営目標を阻害する要因を洗い出し、優先順位を付けて対応していく、これがリスク分析や評価である。今回はサイバーセキュリティがテーマであるから、阻害要因の洗い出しをサイバーセキュリティに絞って実施すればいい。
中堅・中小企業がリスク分析を進めるためのポイント
リスク分析にはさまざまな進め方がある。グローバルスタンダードはISO31000に示されている考え方だが、中堅・中小企業がいきなり参考にするのは得策ではないだろう。内容をかみ砕く必要があり、リソースも費用も掛かるためだ。それでもしっかり進めたいということであれば、IPAが発行している「中小企業の情報セキュリティ対策ガイドライン」を活用することを推奨する。
このガイドラインではISO31000と整合したリスク分析の進め方が示されていることに加え、具体的なテンプレート(Excelシート)が一式用意されている。テンプレートへの記入を進めれば、どのエリアについて対策を進めるべきか導き出される仕組みになっており、これを使えば、労なく一定の品質を確保しながらリスク分析を実施できる。
ただし、これは筆者がリスク分析のお手伝いをしていて常々感じることなのだが、重要なのはどのようなテンプレートを使うかよりも「誰がやるか」である。経営者から一言「やっておいて」と任された担当者が実施するケースも非常に多いが、それは有効とは言い難い。
先に示した一連のステップにある通り、「経営していく上で……」という観点が必要となることを考慮すれば、経営者(の考え)を抜きにしてリスク分析を進めることはできないからだ。大手企業であれば経営企画室などがきちんとその意思を引き継いでいることも多いだろうが、中堅・中小企業の場合、経営企画室などが設置されていないことが多々ある。
このような状況を踏まえ、今回は中堅・中小企業を対象に、筆者が考える最も簡易で効果的なリスク分析の進め方を紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.