リスク対応の考え方の定石には、どんなものがあるのか?
リスクに対する対策の考え方には定石があります。
この定石を理解しないで対策を講じた場合には、偏った対策を講じる恐れがあり、対策の実効
性が薄れてしまうことがあります。
リスク対策の定石としては、予防、発見、回復の3つの対策があります。
これは、リスクの発生を時間軸で考えて、リスクが発生する前に行う事前の対策、リスクが発
生したときにそれを識別・検知する対策、リスク発生後の事後の対応策の3つで考える方法で
す。
物理的、技術的(論理的)、管理的といったような対策の方法により分類するという考え方がも
う1つの定石になります。
例えば、施錠管理がその代表的な対策としているのは、建物・設備・什器などの物理的な対策
になり、また、警備員による入館チェック・巡回といった管理的対策には、パスワード、生体
認証などの技術を用いた技術的対策があります。
マトリックスによる、バランスがとれた対策が重要
リスク対策(コントロール)は、マトリクスで、予防、発見、回復対策と、物理的、論理的、
管理的対策を考えるとバランスがとれた対策になります。
また、マトリクス表を作成することによって、容易にコントロールの脆弱な部分を把握するこ
とが可能になります。
常にマトリクス思考で情報セキュリティ対策を管理者や担当者は、考えるようにし、
そして、特に管理者は、マトリクス思考でリスク対策を監督・指導することをお薦めします。
コントロールの分類には、もう一つの分類がある
すべてのリスクに対して対策を講じる必要は必ずしもありません。
そこで、リスクを回避したり、受容したりするために、次のような視点でコントロール(対
策)を分類する方法があります。
(1)回避
リスクの発生可能性が高くて、かつ高い影響度の場合に選択されるリスク対策です。
例えば、地震のように発生した場合の損失が非常に大きく、かつ発生可能性が高い場合に、
地震の発生可能性や損失が小さい場所に事業所を建設させる対策などです。
(2)低減
リスクの発生可能性もリスクの損失もそれぞれ中程度以上の場合に採用するリスク対策です。
例えば、リスクの発生可能性を減少させる対策や、
リスクが顕在化したときの損失を減少させる対策などです。
(3)移転
リスクの発生可能性が小さいものの、リスクが顕在化したときの損失が大きい場合にとられる
リスク対策です。
例えば、火災保険や自動車保険などに加入する対策や、様々なヘッジ取引を行なう対策などで
す。
(4)受容
リスクに対して特にリスク対策を講じないで、リスクを受け入れるという対応で、
リスクの発生可能性もリスクが顕在化した場合の損失も小さい場合に選択されます。
まとめ
すべてのリスクに対しての何らかの対策を講じなければならないという思い込みはしないほう
がよく、それは、リスクへの対策には、殆どの場合にはコストがかかるからです。
小さなリスクにたいして、過大なコストをかけてまで対策を講じるのは、意味がありません。
そこで、リスク評価を適切に行なっていくことができれば、リスクが小さいごとを確認でき、
リスクを受容することもできるようになるのです。
ただし、リスクの過小評価を行なわないようにすることで、リスクの状況を
モニタリングすることを忘れないようにすることが重要です。