ITリスクマネジメントとは？成功させるプロセスとポイントを解説

四半世紀の間にITはどの業界においても、企業経営に不可欠のものとなりました。これにともない、ITがもたらす脅威も増しています。企業はITリスクマネジメントへの取り組みも必須です。

正しい対策を取るためには、ITリスクマネジメントを正しく知ることが重要です。本記事ではITリスクマネジメントについて、さまざまな観点を取り上げ詳しく解説します。

ITリスクマネジメントとは

まずITリスクマネジメントとはなにか、概要を解説します。リスクに対する4つの対処方法も確認していきましょう。

ITに関するリスクを評価し、対策と対応方法を決めておくプロセス

クリックして拡大

ITリスクマネジメントとはシステムに関するリスクを事前に洗い出したうえで、リスクを許容できるか否か、許容できない場合はどう対処するか決めておくプロセスです。起こったあとの対処方法にフォーカスを当てているため、リスクが起きないように対策する「予防」とは異なることに注意してください。

ITに関する代表的なリスクには、以下のものが挙げられます。詳しくは「ITリスクとして扱われる3つの項目」で解説します。

・セキュリティリスク（ウイルス感染や不正アクセス、外部への情報持ち出しなど）

・自然災害（浸水や停電、建物の破壊など）

・人的リスク（ヒューマンエラーなど）

リスクマネジメントにおける4つの対処方法

クリックして拡大

リスクへの対処方法は、大きく4つに分けられます。リスクマネジメントではどのように対処するのか、順に確認していきましょう。

・リスク回避

そもそもリスクの原因となる行為をしなければ、リスクは発生しないわけです。この考え方による対処は、リスク回避と呼びます。新規事業の立ち上げを断念することは、リスク回避の代表的な例です。

一方でリスク回避は、利益を得られない事態にもつながります。このためリスク回避は、なかなか選択しにくいものです。

・リスク低減

リスク低減は、事業運営において日々行なわれている手法です。発生しうるリスクに対して事前に対策を取り、以下の効果を狙います。

・問題を発生しにくくする

・影響範囲を狭くして、被害を減らす

おもな手法には、データを分散して保管する、信頼性の高いネットワークを構築する、ソフトウェアの品質を向上させるなどが挙げられます。遠隔地に拠点を設けることも、リスク低減の一つです。

・リスク移転

リスク移転は問題が発生した際、被害を他に肩代わりしてもらう方法を指します。この方法も保険という形で、よく活用されています。被害が生じた場合は保険会社から保険金を受け取ることにより金銭的な損失を免れ、影響を最小限に抑えられるというわけです。

リスク移転は、被害が多額となった場合のみ選ぶ方法もあります。「免責金額」が設定される保険は代表的な例であり、保険料を安く抑えられることが魅力です。

・リスク保有

リスク保有は、リスクを持ち続けながら事業を遂行することを指します。あらかじめ発生しうるリスクを評価したうえで、リスクの発生や起こりうる事態を許容する判断がリスク保有ですから、何もしないこととは異なります。もちろん「リスクはあるけれど、仕方がない」といった諦めでもありません。

リスク保有は、以下の場合に判断される可能性が高くなります。

・リスクが現実化しても被害が少ない、または皆無

・リスクが現実となる可能性が低く、対策を取るコストが高い

・リスクが現実化し被害が起きても、損失を自社で埋め合わせできる

・リスクに対する現実的な対策がない

ITリスクマネジメントが重要視される3つの理由

ところでITリスクマネジメントは、なぜ経営に不可欠とされる存在にまで位置づけられたのでしょうか。ITリスクマネジメントが重要視される理由を3つ取り上げ、解説していきましょう。

社会や事業運営のあらゆる場面で、ITが欠かせない存在となった

Windows95発売から四半世紀 を経て、ビジネスのあらゆる場面でITが使われる時代となりました。いまやITなしの社会は考えられないほど、ビジネスに欠かせない社会基盤の役割を果たしています。

これは水道やガスなど、一見ITと無関係そうな業種も例外ではありません。 業務を細かく分解すると、ITが使われている部分もあります。もし通信網がすべて止まってしまうと、業務が進まなくなるというわけです。

リスクを完全に取り除くことは不可能

事業を行なううえで、リスクを完全に取り除くことは不可能です。私たちは台風への備えはできても、台風を自由に操ることはできません。また私たちは、消費者の心の内を100％読み取ることもできません。このため製品を市場に投入することは、ほとんど売れないリスクを常にともないます。

そもそも事業の遂行に「ゼロリスク」を求めると、何もできなくなってしまいかねません。リスクを事前に知り、有事の際に適切な対処を行なえる体制を整えることが重要です。

トラブルや不具合が起きた際の被害を最小限に食い止めたい

トラブルや不具合など、リスクが現実化した際の被害は多種多様です。損害賠償や株価の下落など、億単位の損害を招く おそれもあります。状況によっては貴社の信用を失い 、事業の継続危機に直面するかもしれません。

リスクマネジメントの実施により、リスクが招く脅威を事前に知ることが可能です。平時のうちに、リスクに対する備えも万全に行なえることでしょう。適切な取り組みにより、有事の際の被害を最小限に食い止めることが可能です。

ITリスクとして扱われる3つの項目

前述のとおり、ITリスクとして扱われる項目は、大きく3つに分かれます。それぞれの項目について、どのようなものがリスクとなるのか確認していきましょう。

セキュリティ上のリスク

セキュリティ上のリスクは、システム自身がもたらす代表的なリスクです。おもな項目を、以下に挙げました。

・ウイルスへの感染

・意図せずデータが外部に流出する

・ランサムウェアやDDoS攻撃、不正アクセス

リスクは、人が原因の場合もあることに留意が必要です。一例として、以下の行為が挙げられます。

・人手による外部媒体へのコピー

・メールやメッセージ、パスワードを外部に送信するなど、機密情報を故意に流出させる

・入室権限のない方が意図的に侵入する

・機密情報が入った媒体を紛失する

いずれのケースも、情報漏洩などの重大な結果を招くリスクがあることを意識しなければなりません。

自然災害

自然災害は事業継続リスクとともに、ITリスクにも挙げられます。ITシステムに対し、以下の脅威を与えることが理由です。

・電源供給の停止によるシステム停止

・機器の浸水による故障

・地震や津波、竜巻など、衝撃による破壊

・交通機関の途絶や道路の通行止め による、管理者やオペレーターの不在

ひとくちに自然災害によるリスクといっても、事象により頻度や結果の重大性は多種多様です。個々のリスクを吟味したうえで、対応方法を決めなければなりません。

人的リスク

ITリスクのなかには人が介在することにより、意図せずして起こるリスクもあります。入力する項目を間違える などのヒューマンエラーは、代表的なリスクといえるでしょう。「人は間違いを起こすもの」という前提に立ち、システム側でミスを防ぐ取り組みが必要です。

別のリスクとして、ステークホルダー間のこじれもあります。システム的には十分対処可能であっても、丁寧な説明と対応を行なわないまま対処する姿勢は好ましくありません。苦情や非協力的な対応、契約の解除といった不都合な事態を招くおそれがあります。

ITリスクマネジメントを進める4つのプロセス

クリックして拡大

ITリスクマネジメントはISO27001やISO27005といった、情報セキュリティマネジメントシステム（ISMS）に関する国際規格で定められています。 ここからはITリスクマネジメントを進めるために必要な4つのプロセスを取り上げ、どのような事項を行なうべきか解説していきます。

ITの脆弱性を把握し、リスクの特定や分析を行なう

まず運用中のITシステムについて、どのようなリスクがあるか把握しましょう。システムの脆弱性に加えて、人がもたらすリスクも漏れなく把握する必要があります。どこにどのような問題があるかを知ることは、正しい対策への出発点です。

リスクの特定後は分類を実施し、それぞれのリスクに対してどのような影響があるか分析してください。

対策の優先順位をつける

組織の経営資源である、ヒト・モノ・カネは有限です。多くの企業は、すべてのリスクに対応できないケースも多いのではないでしょうか。この場合は取り組むべき優先順位を設け、リスクに対応しなければなりません。

対策すべき優先順位の決定には、以下の事項を考慮すると良いでしょう。

・リスクが現実化する確率や頻度

・リスクがもたらす結果の深刻度

・脆弱性の程度（深刻であるほど優先順位も高くなりやすい）

・対策の難易度（簡単であるほど費用対効果が高いため、優先されやすい）

リスクへの対処を行なう

対策すべきリスクへの優先順位が決まったらスケジュールを立て、対処を行なってください。

特に事業運営への影響が大きいリスクには、早めの対応がおすすめです。インシデントは、いつ起こるかわかりません。可能な限りスケジュールを前倒しして、有事に備えましょう。

リスクモニタリングを継続的に行なう

すべてのリスクに対処すれば、それで十分とはいえません。なぜならリスクは、常に変化しているためです。場合によっては、以下の決断を要するかもしれません。

・優先順位を変える

・一部のリスクに対応しない（事業運営への影響がなくなったため）

・対処すべきリスクを追加する

リスクへの対応状況に関わらずリスクモニタリングを継続的に実施し、最新の状況に基づいた判断を行なうことが求められます。

ITリスクマネジメントを成功させる4つのポイント

ITリスクマネジメントを成功させるためには、4つのポイントを押さえることが欠かせません。企業では何をすべきか、順に確認していきましょう。

専門企業が提供するサービスの活用は一つの選択肢

これからITリスクマネジメントを実施するにあたり、コンサルティングやITソリューションなど、IT専門企業が提供するサービスの活用は一つの選択肢です。システム全体を俯瞰し、全体最適となる方法を提示してもらえることでしょう。

一方で提示されるサービスが、貴社にベストな提案とは限りません。自社の希望を満たす内容か、費用対効果があるかという点も必ずチェックすることが成功のコツです。

優先度・重要度を意識して作成し、完璧を求め過ぎない

「すべてのリスクに対応でき、予算内に納まる」このようなプランができれば良いですが、現実はそうならないことも多いです。ITリスクマネジメントに完璧を求めすぎると、計画段階で挫折しかねません。優先度や重要度を意識して作成し、現実的に可能なレベルでの落としどころをつけることが重要です。

そもそもリスク自体が変動し得ることを忘れてはいけません。もし見落としが発見された場合は、改善すれば良いわけです。ITリスクマネジメントには、継続的な対応が重要です。

関係者間での密なコミュニケーションを

ITリスクマネジメントには、ステークホルダー間のコミュニケーションも欠かせません。同じ対応をしても、相手の立場により影響は異なります。業務に大きな支障が出る対処方法は、現場の抵抗を生みかねません。関係者が満足する対処方法を選ぶことが求められます。

日頃からリスクに関する情報交換を行なう「リスクコミュニケーション」は、トラブルを避ける重要な手法です。それぞれの立場を認識することで効果が高く不便を最小限に抑えた解決案を提案でき、Win-Winの関係づくりに役立てます。

リスクへの対策が別のリスクを生まないか要確認

リスクへの対処方法を選ぶ際には、対策が別のリスクを生まないか確認することも重要です。新たなリスクが許容できないものであれば、その対策方法を選んではいけません。

一例としてPPAPと呼ばれる、zipファイルとパスワードを別々のメールで送る手法が挙げられます。この手法は添付ファイルを解読されにくくする目的で使われますが、経路上での盗聴にはほとんど効果がありません。そればかりか、以下のリスクも生みかねません。

・セキュリティソフトによっては、zipファイルの内部をチェックできない可能性がある

・送信先のセキュリティポリシーにより、zipファイル付きのメールが受信拒否される

上記はいずれも好ましくないリスクであり、PPAPは採用すべきでない手法という見方もあります。

ITリスクマネジメントを正しく進め、有事の対策を万全に

リスクへの対策は重要な項目から、また効果の上がりやすい項目から始めることが有効です。初めから完璧を目指す必要はありません。まずは把握している範囲内で、どのようなITリスクがあるか洗い出すところから始めましょう。

ITリスクマネジメントの遂行には、ステークホルダーの協力も欠かせません。正しく進め、有事への対策を万全に行なうことが貴社の発展につながります。ぜひ今日から、取り組んでみてはいかがでしょうか。