一一戦略的リスクマネジメント = コ 体制を目指す ロリスク評価のプロセス ではなく、リスクをポートフォリオとして提えて最適化するのです。 実施することです。従来のように個別にリスクを捉えて最小化をはかるの リスクだけでなく、企業活動全体のリスクに対して最適なマネジメントを て提案しています。工ンタープライズ・リスク・マネジメントとは、情報 要です。 KPMG ではこれをエンタープライズ・リスク・マネジメントとし メントよりも俯瞰的な視点でリスクを評価し、コントロールする方法が必 これらのリスクを総合的にマネジメントするためには、情報リスクマネジ ロセスに生じるリスクなど、情報リスク以外にもリスクが多数存在します。 企業には、事業目的を達成するための戦略的なリスクや、業務処理のプ ◆エンタープライズ・リスク・マネジメント トータルな視点でリスクを考えることも大切だ。 企業の脅威となるリスクは情報リスクだけではない。さらに 企業戦略分析 ビジネス プロセス分析 リスク評価 ビジネス測定 継続的 改善 84 企業戦略、重要な成功要因、ビジネスリスク、内部統制及び主要 業績評価指標を理解します。 企業目標・企業戦力を達成するために不可欠な主要ビジネスプロセスを 分析し、リスクの存在及びそのリスクを回避する内部統制の存在を確認し ます。ビジネスプロセスの理解をベースにリスク評価手続を計画します。 リスクを評価し、主要リスクを抽出します。そして内部統制によ り、リスクがコントロールされている状況を検証します。 重要な成功要因、ビジネスプロセス及び主要業績評価指標に焦 点を合わせて分析します。リスクの高い取引及び非経常的な取 引に対して重点的に実施します。 リスクマネジメントの視点から改善策を継続的に提供すること により、内部体制の改革及び効率化に貢献します。

ロ情報リスクマネジメントとは ? 情報リスクを完全に無くすことは不可能 継続的に情報リスクを把握 ( リスクモ二タリング ) し、 適切な経営判断 ( リスクティクやリスク回避 ) や 対策 ( リスクコントロール ) を実施すること。 ~ = 情報リスクマネジメント 情報リスク リスクティク リスクコントロール リスク回避 リスクの顕在化を防ぐ、あるいはリスクを 最小化させるための仕組み・手続キ ーリし ( ー 0 〇予防コントロール →リスクの発生を押さえる 〇発見コントロール →リスクの顕在化をいち早く発見する 〇回復コントロール →リスクが顕在化した時に、影響を最小限にする 第 2 章◎情報リスクマネジメントの概要 53

◆ 3 段階ある企業のリスクマネジメントの成熟度 KPMG では、企業のリスクマネジメントに関する成熟度合いを 3 つの段 階 ( 受動的、戦術的、戦略的 ) に分類しています。受動的なリスクマネジ メントの段階とは、リスクマネジメントの上級責任者が不在であったり、 部門単位でリスクマネジメントをしていることから、重大なリスク対応に 失敗してしまう段階です。戦術的なリスクマネジメントの段階とは、企業 としてリスクマネジメントの重要性を認識し、定期的なリスクのプロファ イルを作成しているものの、全社的な最適化には到っていない段階です。 最終段階である戦略的なリスクマネジメントの段階とは、リスクポートフ オリオを作成し、企業全体での最適な範囲でリスクを管理することが可能 な段階です。さらに管理を支えるリスク管理体制も整備・維持され、トッ ブマネジメントのもと企業全体にリスク管理が浸透している段階です。 情報リスクマネジメントの考え方を取り入れることは、企業にとってこ れからの急務ですが、その先には、他のリスクマネジメントも視野に入れ た、戦略的なリスクマネジメントの体制の構築も考慮すべきでしよう。 ロリスク・マチュリティ・フレームワーク 戦略的リスクマネジメント ・率先的な役員と上級 管理者によるリスク管 理委員会 ・組織全体でのリスク 平価とリスク管理 ・共通言語と共通アプ ローチ ( リスクフレー ムワーク ) ・リアルタイムのリスク ボートフォリオ分析 ・」スク最適化と報告 戦術的リスクマネジメント ・役員及び上級管理者 の支援 ・リスク委員会の設置 ・定期的なリスクプロフ ァイルの作成 ・全社的リスクマネジメ ントの必要性に対す る認識 受動的リスクマネジメント ・リスクマネジメントを 強調する役員または 上級管理者の不在 部門内のみでのリス ク管理 ・重大なリスクへの対 応失敗 ・リスク管理の共通ア プローチ及び共通語 源の不在 一三ロ 第 2 章◎情報リスクマネジメントの概要 85

規把に藤リスク マネジメントを把握する 52 テムより幻時間稼動するシステムのほうが、利用者は増加します ( リターン これは情報リスクにも同じ事が言えます。たとえば、 8 時間稼動するシス とは経験的に知られています。 けられません。大きな利益を追求すればするほど、リスクも大きくなるこ ビジネスとして利益 ( リターン ) を追求する場合、リスクを伴うことは避 らえがちですが、言うまでもなくリスクはリターンの裏返しです。一般に 「リスク」という言葉は、「危険、恐れ」というマイナスの意味として捕 するということなのです。 メントするということは、企業における情報リスクを制御 ( コントロール ) 的は、リスクを無くすことではないということです。情報リスクをマネジ ます最初に注意しなければならないのは、情報リスクマネジメントの目 ◆情報リスクを「無くす」のではなく「制御」する う視点が重要なのです。 のセキュリティ対策を大局的に管理する「情報リスクマネジメント」とい があります。ですから経営者やマネージャには、情報リスクに対する個別 ルで提え、多岐にわたる対策や手段を効果的に、効率的に組み立てる必要 手段だけに着目していてはいけません。企業を脅かす情報リスクをトータ しかし、経営者やマネージャクラスが、こういった個々のリスクや対抗 の手段を取ることは大切なことです。 です。もちろん、各従業員が情報リスクの脅威を実感し、こういった個別 対策を打っとか、マシンの故障に備えてのバックアップをとるなど、様々 情報リスクを回避する手段は、コンピュータウイルスに感染しない為の ◆これからの経営者やマネージャに欠かせない情報リスクの視点 その基本的な考えは「リスクのコントロール」にある。 「情報リスク」を「マネジメント」するとはどういうことか ?

ステップ 2 / リスクを分析する 守るべき資産に対してどのようなリスクカ定されるのか、 そのリスクについて把握することがリスク分析の目的た。 ◆情報リスクの脅威を分析する 企業にとって守る必要の高い情報資産が把握できたら、次はその情報資 産を脅かす情報リスクについて、どのようなモノが考えられるのか、どの 程度の被害をもたらすのかを考える必要があります。それがリスク分析で す。セキュリティポリシーを策定するにあたり、情報資産の分類を行なっ た後のこのリスク分析は、とても重要なステップです。 たとえば、あるデータの情報漏洩に対する脅威として、フロッピーにデ ータを複写する、プリンタに印刷した紙を持ち去る、ゴミ箱に捨てられた 情報から情報が漏洩する、などが考えられるでしよう。その結果、企業に とってどのような被害がもたらされるかも考えられるでしよう。こういっ たリスク分析の結果を用いて企業は、セキュリティポリシーの内容として、 情報資産に対する脅威の対象や範囲を定めたり、対処すべき方法を判断す るのです。 ◆リスク分析の 3 つのポイント リスク分析を行なうには、欠かせないポイントが 3 つあります。ます第 1 に、分析をする対象と範囲を明確にすることです。関連会社まで含めて リスクを分析するのか、特定部門に限定してリスクを分析するのかをハッ キリさせる必要があります。 次に、セキュリティポリシーを策定する目的に合わせてリスクを分析す ることも重要です。たとえば、 BS77 的 ( → 18P ) の認証取得を目指すなら、 リスク分析の際にも管理策を中心に考えるべきでしよう。 最後は、リスク分析の結果をセキュリティポリシーに反映させることで す。リスク分析の結果と策定したポリシーに関連性がなければ、情報資産 100

キュリティ対策で防ぐことはできません。このことは、セキュリティに対 する過剰な IT 投資という情報リスクに対しても同じ事が言えるでしよう。 ・情報リスクを戦略的にコントロールする「肩報リスクマネジメント」 このように情報リスクを防ぐには、システム中心のセキュリティ対策で はなく、より組織的・継続的なマネジメントが必要です。では、「情報リス クを組織的にマネジメントする」とは、どういうことなのでしようか。 ます理解するべきことは、情報リスクを完全に無くすことはできないと いうことです。リスクはリターンの裏返しです。つまり、情報リスクをゼ 口にするということは、企業で一切情報を保持せす、 IT も使わないと言っ ているのと同じ事になるのです。 では、どうするのか。企業が最大のリターン ( 利益 ) を確保しつつ、リ スクを最小限に抑えるよう「リスクをコントロール」するのです。具体的 には、ます自社の情報資産を把握し、想定される情報リスクについて考え ます。そして、企業に与える影響の大きさなどで優先順位をつけ、それら が最小になるような対策案を検討・実行するのです。こういった一連の流 れを組織的に継続的に行なうことが「情報リスクマネジメント」なのです。 情報リスクマネジメントの考え方を持たない企業は、将来どうなるので しようか。おそらく、逐次発生する情報リスクに対し個別にセキュリティ 対策を行ない、過剰な情報投資が行なわれ、情報投資の効率性が落ちてい くでしよう。あるいは、セキュリティ対策コストが足りすに情報リスクが 顕在化してしまい、業務に支障が出るかもしれません。 IT バブルが過ぎた今こそ、情報投資について改めて考え直す意味でも、 総合的に情報リスクを測定し、長期的にコントロールする情報リスクマネ 4 の概略が理解できるような構成になっています。 本書は、「情報リスクマネジメント」という言葉を初めて聞く人にも、そ ・本書の構成 ジメントの導入は、企業にとっては大きな意味を持つのです。

が増加する ) が、それに伴いシステムの保守にかかるコストやハッカーに 狙われる可能性も高くなります ( リスクが増加する ) 。 そこで情報リスクマネジメントでは、情報リスクを最小限に抑えた上で、 そのリスクをビジネスで必要不可欠なモノとして取り入れる考え方をして います。 ◆企業が情報リスクマネジメントを取り入れる 4 つのメリット ①情報システムや情報資産を効果的に管理できる 情報システムは、パソコンやプリンタ、専用回線など多くの情報資産で 構成されています。しかし従来の資産管理台帳による管理では、ハードウ 工アが主体になり、中身の情報の管理までは手が回りません。顧客データ べースやバックアップ媒体のように、中身の情報が重要な価値を持つ情報 資産については、漏洩、盗難というリスクに十分に対処する必要がありま す。情報リスクマネジメントを導入すれば、セキュリティの視点から資産 を分類し、それに応じて企業の情報資産を効果的に管理することができま す。 ②リスクを数値化して把握することで、判断材料となる 情報リスクマネジメントでは、情報システムに与える様々な脅威を数値 化します。これを、「リスク分析」と呼びます。数値化することで、企業は リスクを視覚的に把握できるようになり、リスクをどのような形で解決す ればよいのかを検討しやすくなります。また実際にリスク対策した結果も 数値化できるので、継続的なリスク管理が容易になります。 また、リスクの数値化により、リスクの値を削減することによって処理 した費用と、そのために費やしたコストの関係を結びつけることが可能に なります。つまり、 IT 投資の効果を詳しく知ることができるのです。 IT 投 資は往々にして業務の利益という視点だけで捉えやすいのですが、セキュ リティの視点を数値で取り入れることで、システム毎のセキュリテイや部 門毎のセキュリティに対し、効率的な投資が行なえます。 54

lnformatlon Risk 、 4 anagement 第 1 章 事例で見る 「黼日リスク」の脅威 IT に関わるトラブルから発生するリスクが、日増しに 増大している。これらは、財務リスクのような従来型の リスクとは別に、「情報リスク」と呼ばれている。 社会の急速な情報化に伴い、改めてクローズアップさ れる「情報リスク」とは何か ? 実際に起こった事件を 中心に、企業を脅かす数々の情報リスクについて見てい くことにする。

第 2 章 情報リスクマネジメントの概要 ■情報資産評価のタイミング ■ M の実行時にも役立つ情報資産評価 ■改善が重ねられる情報システム監査 ■情報資産の価値を正確に評価する「情報システム監査」 ■情報の価値がわからなければ、適切な対策はとれない 価値のないものを、高いコストをかけて守ることになる。 情報システムや情報資産の価値を把握しておかなければ、 3 の価値を測定する「情報資産評価」 ■セキュリティの費用対効果を考える「情報価値管理」 ■いざという時に支障を来さない「災害復旧・業務継続計画」 ■外部からの情報リスクに備える「情報セキュリティ」 ■情報資産の価値を性格に評価する「情報資産評価」 ■様々な方法を組み合わせてリスクをコントロールする 企業の規模や目的に応じて、これらを使い分ける必要がある。 情報リスクマネジメントにはいくつかの方法か存在する。 匂情報リスクマネジメントの代表的な 4 つの方法 ■企業が情報リスクマネジメントを取り入れる 4 つのメリット ■情報リスクを「無くす」のではなく「制御」する ■これからの経営者やマネージャに欠かせない情報リスクの視点 その基本的な考えは「リスクのコントロール」にある。 「情報リスク」を「マネジメント」するとはどういうことか ? 国大雑把に情報リスクマネジメントを把握する ・ 52 ・・ 56 ・ 58

nchmark ⅲ g ) という手法を用いることで、企業の IT リスクのコントロール 度合いを分析しています。この ITRMB には 7 つの指標、「 IT マネジメント」 「物理的セキュリティ」「情報セキュリティ」「業務継続」「変更管理」「開発」 「内部監査」があり、それぞれを 5 段階で評価します。測定した結果は世界 中から ITRMB のデータベースに更新され、リアルタイムに ITR 、出に反映さ れます。 ◆どんなリスク分析手法を、誰に頼めばよいのか ? 自社のリスクを分析するにあたり、どのリスク分析手法を選択するべき か相談されるケースがあります。結論から言えば、色々なリスク分析手法 を比較して、最適なリスク分析手法を自ら作るしかありません。 ただーっ言えるのは、企業のビジネスモデルが確立した時期より後に作 られたリスク分析手法を選ぶということです。なせならリスク分析手法は、 過去のビジネスと、それに対する脅威を手本に開発されているからです。 また、 IT の急激な変化は、リスク分析手法にも影響を与えます。企業が リスク分析も時代に合わせて変化する必要があります。 変化するように、 リスク分析を行なう人は、経験を積んでいるセキュリティの専門家に依頼 するのが一般的です。その理由は、分析手法の選択が結果を大きく左右す ること、専門知識が求められること、特定部門に所属しないことで客観的 な分析が行なえること、の 3 つです。 リスク分析を行なった結果、リスク分析報告書ができあがります。この 報告書基づいて、次のセキュリティポリシー策定の段階に進みます。この 報告書が出た時点で、会社として報告書の内容にキチンと同意しておくこ とがポイントです。というのも後になって分析結果に異議が生じると、セ キュリティポリシー策定期間が延びる可能性があるからです。 第 3 章◎セキュリティホリシーの策定 103