リスクの洗い出しに対応して、その対策をあらかじめ準備する必要があります。
対策は「リスクに対してどのような効果が期待できるか」と、そのために必要な「コスト」を考えて策定する必要があります。
リスク対策とは「想定されるリスクを発生させないこと」だけを考えていればよいわけではありません。
もちろん、想定されるリスクで影響度の高いものほどその抑制、防止に努める必要があります。
しかし、実際のリスクには防ぎようのないものもあるのです。
リスクの受容
実際のリスク対策にあたって、さまざまな理由で理想としては行なうべき対策がすぐには実施できないという事態も発生するでしょう。
リスク受容の例
ある情報システムのアプリケーションを動かしているOSに脆弱性が見つかったとします。
すぐに脆弱性を修正するパッチを適用できればよいですが、パッチ適用にあたってはアプリケーション側にも修正が必要な場合があり得ます。
当然アプリケーションの修正には時間がかかることになりますが、「ではその間業務を止めるのか」といった判断が求められます。
ある程度リスクを覚悟して、アプリケーションの修正ができるまでも業務を継続するという判断もあり得ます。
これがリスクの受容です。
リスクを受容するか否かは、対象となる業務の重要性や、事業継続性を含めた総合的な判断が必要になります。
日頃からこのような事態が発生した場合にどう判断すべきか、といったことを経営層は考え準備することも必要です。
PDCAの重要性
情報セキュリティに対応する実際の体制構築にあたっては、さまざまなリスクを想定してその評価を行ない、対応を準備するという複雑で多岐にわたる検討、準備が必要です。
体制構築のためのルールを策定して、運用していくことになりますが、一朝一夕で出来上がるものではありません。
一旦体制を構築したとしても、実際に運用していく過程で、さまざまな不備が見つかり修正するといった作業が必要になるでしょう。
新しい事業を始める場合にも、体制の見直しが必要になってきます。
実際には事業環境の変化や、外部環境の変化、技術の進歩などにも随時対応していく必要があります。
これらの対応をパッチワークのように個別に手直しするだけで進めてしまうと、ルールや体制が複雑化してしまい、現実には運用されないものになってしまうでしょう。
最終的には重大なインシデントの発生に繋がりかねません。
そこで定期的に時期を区切り、PDCAサイクルを回していくことが重要になります。
PDCAを回すにあたっては、常に全体最適化を図るためのルールと、プロセスの見直しが必要です。
このルールやプロセスは、極力シンプルにしていくことが求められます。