情報セキュリティの10大潮流 [4] 第4の大潮流「新しいリスクマネジメント」【後編】

　本連載では、情報セキュリティの進化の中、10大潮流を取り上げ解説していきます。10大潮流を「セキュリティ管理の確立」と「安全安心な電子社会の構築」の2つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。(*参考1)

　第4回目は第4の大潮流として「新しいリスクマネジメント」について説明します。

*参考1 情報セキュリティの10大潮流−その1−
〜情報セキュリティ評価・認定フレームの確立〜
http://www.nttdata-sec.co.jp/article/security/090715.html

(3)個人情報保護法

　個人情報の入手、利用、破棄などに係わる業務プロセスにおいて、個人情報漏えいのリスクへの対応が必須になってきています。個人情報保護法が2005年に施行されてから4年目に入った今日、情報漏えいの発生による社会的ペナルティが大きいこともあり、企業では、情報漏えい防止システムの導入や管理の強化を進めているところです。しかしながら未だに企業・組織による情報漏えいが止まらないのが現状です。こうした情報漏えいをはじめとした情報セキュリティへの対応については、企業内の部分的、応急的処置では限界があり内部統制に基づく、全社的・継続的なリスク管理が益々要求されているところです。

(4)事業継続管理（BCM）

　2002年に英国規格協会（BSI : British Standards Institution）がBCP（事業継続計画）の一般仕様として「PAS56」を策定しました。米国でも2004年にNFPA（National Fire Protection Association）が「NFPA1600」を発行し、BCMの導入を推進しています。日本においても情報セキュリティ分野を中心とした事業継続ガイドライン（2005年内閣府防災担当）や事業継続策定ガイドライン（経済産業省）が公表されているところです。先に説明しましたISMSの中には事業継続性も定められていますが、この場合には不正アクセスやウイルス等の情報セキュリティにかかわる事業継続に限定されています。

　BCMで最初に行うことは、自社の現行業務を理解し、最優先すべき事業の要件を定義することです。その後、現行業務プロセス、フローを把握しながら、想定されるリスクならびに被害を検討します。さらに、この検討結果を元に、ビジネス影響度分析（BIA : Business Impact Analysis）を導き出し、目標復旧時間（RTO : Recovery Target Objective）を決定していきます。

3.オーバオールなリスク管理に向けて

(1)リスク管理の新たな展開

　従来からリスク管理とは、リスクを防止したり極小化したりして生じる損失を最小限にする総合的な管理手法であり、問題が起きたときに何をするかをあらかじめ考えておくことです。このようにリスクに対しては、避けるべきものとして従来からネガティブなイメージを持っていますが、今日ではむしろポジティブな要素として捉え、積極的に統合管理して「損失の回避軽減」から「企業価値の維持向上」へ、「個別のリスク対応」から「全社リスク対応」に変革するエンタープライズ・リスクマネジメント（ERM）として進展してきています。企業・組織では、あらゆるリスクについて、相互関連性を踏まえて統合的な対応が求められるようになってきていると言えます。こうした背景の中で企業のリスクマネジメントのあり方を大きく変えるきかっけになったのがCOSO-ERM(COSO Enterprise Risk Management2004年)です。

(2)COSO-ERMで新たに明確にされた概念（※図1参照)

　COSO-ERMでは、リスクを企業戦略の中で検討されるものとして位置づけており、リスクマネジメントの枠組みを提供することを目指して作成されました。その目的に、「A.経営戦略への貢献」、「B.業務の有効性」、「C.財務報告の信頼性」、および「D.関連法規制の遵守」の4つです。内部統制のフレームワークであるCOSOとの違いは「A.経営戦略への貢献」が加わったことでCOSO-ERMフレームワークでは、内部統制の構成要素として「内部環境」「目標設定」「事象の認識」「リスク評価」「リスク対応」「統制活動」「情報と伝達」「監視活動」を挙げています。

図1：
https://www.netsecurity.ne.jp/images/article/10dai4_1.jpg

　従来型のリスクマネジメントは、対象とするリスクを限定しリスク管理部門等専門的に特化した組織が対応していました。またリスクは、損失や危険をもたらすものとして、可能な限り回避・抑制するものとして捉えていました。一方ERMでは、事業上想定されるあらゆるリスクを対象とし、経営トップから末端までの全組織で対応すべきものとし、付加価値の源泉として積極的に受容するものとして捉えています。

(3)広がりはじめているERM

　日本版SOX法への対応でも…

【執筆：NTTデータ・セキュリティ株式会社エグゼクティブ・セキュリティマネージャ林誠一郎】

＊各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ　セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec