ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2014/05/20 掲載

経営陣を納得させる、IT投資におけるリスク評価の基本

【連載】Windows Server 2003サポート終了(2)

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
現在のビジネスは、ITへの依存度が高くなっており、意識している・いないにかかわらず、ITが停止してしまうとビジネスそのものが立ち行かなくなる企業も多い。このような状況でITセキュリティを考慮していない経営は、いつ事業継続が立ち行かなくなるかわからない危険性を秘めている。しかし、その危険性を十分に理解できる経営者は少なく、情報システム部門の担当者はそれをどのように伝えればよいのかについて、日々頭を悩ませているのではないだろうか。今回は、前回紹介したWindows Server 2003サポート終了に伴う各種選択肢のビジネスリスクを分析する前に、まずはどのようにビジネスリスクを算定するべきかについて解説したい。

村嶋 修一

村嶋 修一

1962年山口県生まれ。1995年頃から雑誌記事を書くチャンスに恵まれ、1997年に書籍デビュー。実務視線の「実践」を軸にした書籍雑誌ライティングとサラリーマンの二足のわらじを履く。2006年に「Microsoft MVP for Windows Server -Networking」を受賞し、2013年に「Microsoft MVP for Virtual Machine」でMVP Award連続受賞。Windows 2.1から業務としてWindowsコンピューティングと関わり現在に至る。著書に『Windows Server 2008 実践ガイド』(技術評論社)、『ベテランが丁寧に教えてくれる ネットワークの知識と実務』(翔泳社)などがある。

ITセキュリティ投資の難しさ

 事業を存続をするために、事業継続を脅かすリスクに対策を施すのは、経営として必要不可欠な投資だ。

 ITセキュリティ投資も、リスク対策の一つであるが、セキュリティ投資が経営判断として難しいのも確かだ。ITセキュリティは高度に専門知識を必要と領域なので、経営層が判断に困るのは当然ともいえる。

 また、ITセキュリティ状況は、日々変化しており、不断の情報収集と蓄積が必要な分野である事も経営判断の難しさを増している要因である。

 つまり、経営層から見てITセキュリティ投資は「投資の必要性と妥当性がわかりにくい」問題なのだ。

 昨今ITセキュリティ問題が頻繁にマスメディアに取り上げられているので、流石にITセキュリティ投資は一切不要だといった判断を下す経営者は少なくなっているが、ではどの程度投資するのが妥当なのかの判断は難しいのは変わりがない。

 ITセキュリティを確保するためには経営層が意思決定をするために必要な判断材料を提供することが必要不可欠なのである。そこで、長年企業の情報システム部門に携わってきた筆者の経験をもとに、経営層の心に響く

リスク評価がなぜ必要なのか

 ITセキュリティ投資の妥当性を判断するには、「客観性」「網羅性」「妥当性」が必要だ。

「客観性」
第三者が見て、何をどのように評価したのかが透明で、数値化されているのが客観性を備えるための条件だ。

「網羅性」
1つの事象だけに着目せずにリスクとして想定される事全般に対して評価がされているかが網羅性だ。1つの脆弱性にだけ着目して大騒ぎしても、それより大きな問題を見逃してしまっては元も子もない。

「妥当性」
経営判断としてITセキュリティ投資にどの程度の金銭や人や物などのリソースを投資をするのかを判断する基準が妥当性だ。たとえば、1,000万円の損失が想定されるリスクに対し、1,000万円の対策コストを投資しするのはオーバーコストだ。各組織によって事情が大きく異なるので、各組織の事情に合わせた妥当性を評価し、実務では人・物・金・時間の具体的な数値として表現するのが良いだろう。

リスク評価をどう使うか

 リスク評価自体は判断材料の1つでしか無く、経営判断にはその他色々な要因を判断材料として加味する。判断の一例を紹介すると、以下のような判断がされる。

「重要性」
リスク評価から、リスクが事業に対してどの程度のダメージを与えるのかと、対策の緊急性の情報を得る。

「コスト情報」
対策案より、リスク軽減の効果と必要投資の情報を得る。

「世の中の状況」
リスクが世の中でどのような状況になっているのか、どのような対策がされているのかの情報を得る。

「自組織の対応状況」
リスクに対してこれまでどのような対策をしてきたのか。対策をしていたのであれば従来の対策は現時点でどの程度有効なのか。

「結論」
自社の収益状況、実施すべき対策の選定と優先順位付け、投資と効果(損失回避)評価を総合的に判断し結論を出す。

 リスク評価結果を有効に活用してもらうためには、ただ単にリスク評価だけをするのではなく、対策に必要なコスト、世の中の状況、今までの対応状況もあわせて経営層へ進言するのが早道だといえる。

【次ページ】リスクの算出方法

関連タグ

関連コンテンツ

記事
セキュリティ戦略

NTT西日本の事例で見るセキュリティ対策、「2025年大阪・関西万博」で“やるべきこと”

近年、ランサムウェアによる被害が拡大し、生成AIを用いたサイバー攻撃やランダムサブドメイン攻撃が増加傾向にある。こうした多様化するサイバー攻撃に対応するため、サイバーセキュリティ対策も大きな転換点を迎えている。そこで、NTT西日本 サイバーセキュリティオペレーションセンタ長の萬本正信氏に、広島サミットや東京五輪をはじめとした国際イベントでのサイバーセキュリティ対応の経験を踏まえ、同社のセキュリティ戦略について話を聞いた。

記事
セキュリティ戦略

IoTデバイスにゼロトラストを、“信頼の鎖”のつなぎ方

「信頼(Trust)」は決して絶対的なものではありません。それは信頼性の度合いを示す尺度であり、動的な指標です。世界的なスポーツ用品メーカー、アンダーアーマーの創業者ケビン・プランク氏は、「信頼は一滴ごとに築かれ、バケツごと失われる」と述べています。ネットワーク侵入やデータ漏えい、ランサムウェア攻撃、その1つひとつによって指標は変化します。冷戦時代のパラダイムは「信頼せよ、されど確認せよ」でした。

記事
セキュリティ戦略

実は、全組織が「脱PPAP」すべきとは限らない?コスト最小限で安全なファイル送付法

従来、ファイルの共有方法としてはPPAP(パスワード付きZIPファイルをメールで送り、別メールでパスワードを共有する手法)が主流であった。しかし、近年ではセキュリティ面での問題点が指摘されており、脱PPAPの動きが広がっている。だが、そこには誤解もあるという。本記事では、PPAPの問題点を取り除きつつ、最小限の取り組みで安全確実なファイル送付を行う方法を解説する。

記事
セキュリティ戦略

アップル製品の安全神話は終わった? 相次ぐ「脆弱性報告」の意味

一般にアップル製品はセキュリティが高いと評されている。しかし2022年8月、米国のCISAがアップル製品についてソフトウェアアップデートの注意喚起を行った。macOS、iOS、Safariについて恣意的なコードが実行される脆弱性が発見され、実際の攻撃も確認されたという。その直前、「BlackHat USA 2022」では、2021年にパッチが公開されたmacOSの脆弱性の回避方法について発表があった。アップル製品は危険になってきているのだろうか? 相次ぐアップル製品の脆弱性報告の意味を考えてみたい。

記事
セキュリティ戦略

楽天証券のセキュリティ戦略、1000万口座どう守る?「システム障害」乗り越えた現在地

楽天グループが運営するオンライン証券会社、楽天証券。2023年11月にNISA口座数が業界最多の500万口座を超え、同年12月には証券総合口座数が1000万を突破するなど、着実な事業拡大を遂げている。これだけ大規模なオンライン証券を運営する同社にとって、セキュリティ対策は必要不可欠だ。日々、どのようなセキュリティ対策が行われているのだろうか。同社 取締役 副社長執行役員 平山 忍氏にセキュリティ戦略について話を聞いた。

記事
セキュリティ戦略

IT導入補助金2022をわかりやすく解説、締め切りは?申請方法は?100万円支援の全容

中小企業および小規模事業者がIT導入に関する費用の一部を補助するIT導入補助金に2022年から「セキュリティ対策推進枠」が新設されました。これにより、情報処理推進機構が公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されているセキュリティサービスを最大2年間、実質半額で利用することができます。サイバー攻撃のリスクが中小企業にも及びつつある中、こうした補助金を使うことで気軽にセキュリティ対策を強化することができます。本記事では、セキュリティ対策推進枠の概要や申請手順、審査項目などについて詳しく解説します。

イベント・セミナー
オンライン
オンライン

稼働停止リスク?取引先のガイドライン準拠状況?サプライチェーンと制御システムを保護する製造業の

サプライチェーンの強靭化、カーボンニュートラルへの移行、「もの売りからコト売り」へのシフト等、製造業は多くの対応を迫られています。製造現場における制御システムの領域においても、環境変化に対応すべく製造DXの取り組みが加速していますが、DXが進むほどサイバーリスクは増大していきます。またサプライチェーン攻撃に伴い、取引先が攻撃を受け、自社に影響が及ぶリスク、自社が踏み台となり取引先に損失を与えてしまうリスクが登場しています。 これらのリスクは、事業の継続を妨げる恐れがあるにもかかわらず、社内(経営側/事業側及び工場)で危機管理意識が十分でない場合や、立場によって認識が異なる状態が散見されます。 リスクの全体像を把握(可視化)し、ガイドラインに沿って実現性の高いロードマップを描くにはどうしたらよいのでしょうか? 先進的な取り組み事例と共にベストプラクティスをご紹介します。
イベント・セミナー
オンライン
オンライン

「セキュリティ対策/インシデントハンドリング」に関するアンケート

【アンケート回答者の中から抽選で50名様に、「Amazonギフト券500円」をプレゼント!】 (締切:2024/5/31 ※必要回答数に達した場合早期終了します。) ※プレゼントは厳正な抽選の上、当選者を決定し、賞品の発送をもって発表にかえさせていただきます。 ※特典の配送には開催終了から最大で約4週間程度お待ち頂くことがございます。 ※お勤め先のご連絡先・メールアドレスをご記入下さい。 ※フリーアドレス、携帯キャリアやプロバイダなどの個人アドレスでのお申込みは特典対象外となります。 ※同一人物からの複数登録は特典対象外となりますので、代理登録はお控えください。 ※競合企業にお勤めの方、法人勤務以外の方、ご記入内容に不備がある場合は、ご応募を無効とさせていただきます。

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample