開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/05/20

経営陣を納得させる、IT投資におけるリスク評価の基本

【連載】Windows Server 2003サポート終了(2)

現在のビジネスは、ITへの依存度が高くなっており、意識している・いないにかかわらず、ITが停止してしまうとビジネスそのものが立ち行かなくなる企業も多い。このような状況でITセキュリティを考慮していない経営は、いつ事業継続が立ち行かなくなるかわからない危険性を秘めている。しかし、その危険性を十分に理解できる経営者は少なく、情報システム部門の担当者はそれをどのように伝えればよいのかについて、日々頭を悩ませているのではないだろうか。今回は、前回紹介したWindows Server 2003サポート終了に伴う各種選択肢のビジネスリスクを分析する前に、まずはどのようにビジネスリスクを算定するべきかについて解説したい。

村嶋 修一

村嶋 修一

1962年山口県生まれ。1995年頃から雑誌記事を書くチャンスに恵まれ、1997年に書籍デビュー。実務視線の「実践」を軸にした書籍雑誌ライティングとサラリーマンの二足のわらじを履く。2006年に「Microsoft MVP for Windows Server -Networking」を受賞し、2013年に「Microsoft MVP for Virtual Machine」でMVP Award連続受賞。Windows 2.1から業務としてWindowsコンピューティングと関わり現在に至る。著書に『Windows Server 2008 実践ガイド』(技術評論社)、『ベテランが丁寧に教えてくれる ネットワークの知識と実務』(翔泳社)などがある。

ITセキュリティ投資の難しさ

 事業を存続をするために、事業継続を脅かすリスクに対策を施すのは、経営として必要不可欠な投資だ。

 ITセキュリティ投資も、リスク対策の一つであるが、セキュリティ投資が経営判断として難しいのも確かだ。ITセキュリティは高度に専門知識を必要と領域なので、経営層が判断に困るのは当然ともいえる。

 また、ITセキュリティ状況は、日々変化しており、不断の情報収集と蓄積が必要な分野である事も経営判断の難しさを増している要因である。

 つまり、経営層から見てITセキュリティ投資は「投資の必要性と妥当性がわかりにくい」問題なのだ。

 昨今ITセキュリティ問題が頻繁にマスメディアに取り上げられているので、流石にITセキュリティ投資は一切不要だといった判断を下す経営者は少なくなっているが、ではどの程度投資するのが妥当なのかの判断は難しいのは変わりがない。

 ITセキュリティを確保するためには経営層が意思決定をするために必要な判断材料を提供することが必要不可欠なのである。そこで、長年企業の情報システム部門に携わってきた筆者の経験をもとに、経営層の心に響く

リスク評価がなぜ必要なのか

 ITセキュリティ投資の妥当性を判断するには、「客観性」「網羅性」「妥当性」が必要だ。

「客観性」
第三者が見て、何をどのように評価したのかが透明で、数値化されているのが客観性を備えるための条件だ。

「網羅性」
1つの事象だけに着目せずにリスクとして想定される事全般に対して評価がされているかが網羅性だ。1つの脆弱性にだけ着目して大騒ぎしても、それより大きな問題を見逃してしまっては元も子もない。

「妥当性」
経営判断としてITセキュリティ投資にどの程度の金銭や人や物などのリソースを投資をするのかを判断する基準が妥当性だ。たとえば、1,000万円の損失が想定されるリスクに対し、1,000万円の対策コストを投資しするのはオーバーコストだ。各組織によって事情が大きく異なるので、各組織の事情に合わせた妥当性を評価し、実務では人・物・金・時間の具体的な数値として表現するのが良いだろう。

リスク評価をどう使うか

 リスク評価自体は判断材料の1つでしか無く、経営判断にはその他色々な要因を判断材料として加味する。判断の一例を紹介すると、以下のような判断がされる。

「重要性」
リスク評価から、リスクが事業に対してどの程度のダメージを与えるのかと、対策の緊急性の情報を得る。

「コスト情報」
対策案より、リスク軽減の効果と必要投資の情報を得る。

「世の中の状況」
リスクが世の中でどのような状況になっているのか、どのような対策がされているのかの情報を得る。

「自組織の対応状況」
リスクに対してこれまでどのような対策をしてきたのか。対策をしていたのであれば従来の対策は現時点でどの程度有効なのか。

「結論」
自社の収益状況、実施すべき対策の選定と優先順位付け、投資と効果(損失回避)評価を総合的に判断し結論を出す。

 リスク評価結果を有効に活用してもらうためには、ただ単にリスク評価だけをするのではなく、対策に必要なコスト、世の中の状況、今までの対応状況もあわせて経営層へ進言するのが早道だといえる。

【次ページ】リスクの算出方法

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!