日本はセキュリティ原理主義に走り過ぎか!?：新しいリスクマネジメントとは（1/2 ページ）

ビジネスチャンスとリスクは「光」と「影」。効率的なリスクマネジメントは、何よりもまずバランス良くリスクをコントロールするが大切だという。

[富永康信（ロビンソン），ITmedia]

　リスク・インテリジェンスの観点から情報セキュリティをみるとどうなるだろう。日本企業では情報セキュリティマネジメントの課題が多い。監査法人トーマツでパートナーを務める丸山満彦氏は次の6つを指摘する。

　1つ目は、情報セキュリティリポリシーが単なる文書と化し、事業戦略とリンクしていない問題。対策の実施や従業員の行動に影響しておらず、セキュリティの強化が事業の発展にどのようにつながるかが見えていない。

　2つ目は、情報セキュリティマネジメントが現場に浸透せず、ルールが十分に理解されないため、必要な対策が現場で実施されないこと。

　また、3つ目は、リスク評価を判断するのが誰か明確ではなく、情報の価値を正確に判断する手法も確立していないこと。

　4つ目が、投資対効果の分析が十分にできていない問題。必要な投資を行わず、不必要な投資をしているなどの誤った状況が起こっている。

　そして、5つ目は、理想的な対策をルール化して、結果的に現場で守られなくなっている現状。できる対策ばかり実施し、本当にすべき対策がなおざりになっている。

　最後に6つ目として、社内にセキュリティ監査が可能な人材が不足し、内部監査が十分にできていないなどを挙げている。

ERMをマトリックスで考える

　効果的かつ効率的なリスクマネジメントができていないことは明白である。そこで、ERMをマトリックスで考える視点が有効になる。リスクの影響が大きくコントロールが不十分な部分はリスク対策を強化する。影響が大きくともコントロールが十分な部分はモニタリングし、十分に機能しているかどうかを確認する。

　また、影響は小さいがコントロールが不十分な部分はリスク発生の場合の累積損害を測定して、対策をすべき・すべきではないことを明確にする。そして、影響が小さく、コントロールが十分なものはやりすぎではないかを考える。このやりすぎが、米国SOX法では大きな議論になった。やりすぎの対策は効率化を考えなければならない。

継続的なモニタリングと改善

　丸山氏は、リスク・インテリジェンスの視点から見る情報セキュリティについて、いくつかのポイントを示している。

　まず、ビジネスを始点とした情報セキュリティを考えることが重要になるということ。情報セキュリティの強化が本当にビジネスの発展につながるのか、他のビジネスを阻害していないか、セキュリティのために本業が圧迫されすぎるような“セキュリティ原理主義”に走っていないかなどを注意する。