ニュース
» 2007年11月16日 07時00分 UPDATE

新しいリスクマネジメントとは:日本はセキュリティ原理主義に走り過ぎか!? (1/2)

ビジネスチャンスとリスクは「光」と「影」。効率的なリスクマネジメントは、何よりもまずバランス良くリスクをコントロールするが大切だという。

[富永康信(ロビンソン),ITmedia]

 リスク・インテリジェンスの観点から情報セキュリティをみるとどうなるだろう。日本企業では情報セキュリティマネジメントの課題が多い。監査法人トーマツでパートナーを務める丸山満彦氏は次の6つを指摘する。

 1つ目は、情報セキュリティリポリシーが単なる文書と化し、事業戦略とリンクしていない問題。対策の実施や従業員の行動に影響しておらず、セキュリティの強化が事業の発展にどのようにつながるかが見えていない。

 2つ目は、情報セキュリティマネジメントが現場に浸透せず、ルールが十分に理解されないため、必要な対策が現場で実施されないこと。

 また、3つ目は、リスク評価を判断するのが誰か明確ではなく、情報の価値を正確に判断する手法も確立していないこと。

 4つ目が、投資対効果の分析が十分にできていない問題。必要な投資を行わず、不必要な投資をしているなどの誤った状況が起こっている。

 そして、5つ目は、理想的な対策をルール化して、結果的に現場で守られなくなっている現状。できる対策ばかり実施し、本当にすべき対策がなおざりになっている。

 最後に6つ目として、社内にセキュリティ監査が可能な人材が不足し、内部監査が十分にできていないなどを挙げている。

ERMをマトリックスで考える

 効果的かつ効率的なリスクマネジメントができていないことは明白である。そこで、ERMをマトリックスで考える視点が有効になる。リスクの影響が大きくコントロールが不十分な部分はリスク対策を強化する。影響が大きくともコントロールが十分な部分はモニタリングし、十分に機能しているかどうかを確認する。

 また、影響は小さいがコントロールが不十分な部分はリスク発生の場合の累積損害を測定して、対策をすべき・すべきではないことを明確にする。そして、影響が小さく、コントロールが十分なものはやりすぎではないかを考える。このやりすぎが、米国SOX法では大きな議論になった。やりすぎの対策は効率化を考えなければならない。

継続的なモニタリングと改善

 丸山氏は、リスク・インテリジェンスの視点から見る情報セキュリティについて、いくつかのポイントを示している。

 まず、ビジネスを始点とした情報セキュリティを考えることが重要になるということ。情報セキュリティの強化が本当にビジネスの発展につながるのか、他のビジネスを阻害していないか、セキュリティのために本業が圧迫されすぎるような“セキュリティ原理主義”に走っていないかなどを注意する。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!  旅行券(5万円)をプレゼント!

「ITmedia エグゼクティブ」は上場企業および上場相当企業の課長職以上の方が約5500人参加している無料の会員制サービスです。
 会員の皆さまにご参加いただけるセミナーや勉強会などを通じた会員間の交流から「企業のあるべき姿」「企業の変革をつかさどるリーダーとしての役割」などを多角的に探っていきます。
 新規でご入会いただいた方の中から抽選でお1人さまに、JTB旅行券(5万円)をプレゼントします。初秋の旅で、日頃の疲れをいやしていただければと選びました。どうぞご応募ください。

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆