日常はすべてリスクマネジメント
- 「目覚ましをかける」
- 「歯を磨く」
- 「道の左端を歩く」
- 「生命保険に入る」
これらはいずれも私たちが日常の中で行っているリスクマネジメントです。それぞれ、「時間に遅れて関係者に迷惑をかけるリスク」「歯痛や歯槽膿漏になるリスク」「車に轢かれるリスク」「自身に万が一のことが起きて家族が経済的に苦労するリスク」に対する防御策の1つです。大袈裟に言えば、社会生活そのものがリスクマネジメントの積み重ねであると言ってもいいでしょう。
システム開発におけるリスクの分類
学問的にはリスクに関する様々な定義や表現がありますが、システム開発の現場における最大のリスクは、「納入したシステムが意図通りに動かないこと」と「情報漏えい」です。これらの原因は「ソフト面」「ハード面」に大きく分類され、さらに「事故・過失」「故意」という2つの要因に整理することもできます(表1)。システム開発に従事する者は、こうしたリスクを予見し、回避することを常に考慮しなければなりません。
今回は情報漏えいリスクへの対策について述べようと思いますが、表1の内容を見たところで、これを「リスクマネジメントしろ」と言われても、何から手を付けていいのかわからないはずです。具体的にどのようなことから始めればよいのでしょうか?
表1 システムにまつわるリスク例
事故・過失 |
故意 |
|
---|---|---|
ソフト面 |
バグ、パッチの当て漏れ |
外部からのクラック |
ハード面 |
故障、停電 |
テロ |
「守るべきもの」を整理する
情報漏えいに対するリスクを整理するには、まず表1の分類を念頭に置いた上でいったん目線を変え、「守るべきもの」からアプローチしていくことが正攻法と言われています。すなわち「保護対象となる情報資産の整理」です。
昨今では特に個人情報を取り扱うシステムに関しては、より高いレベルのリスクマネジメントが求められます。まずはこうした重要情報を守ることが、システム稼動後の欠かせない要件になります。また、個人情報以外にも自身が所属する組織の機密情報や、これを処理するシステムサービス全般、さらにはシステムから切り離された状態で保存される関連媒体(紙やCD、HDDなど)についても相応の保護・管理体制が必要になります。加えて、これら情報を取り扱う人間の過失や悪意に起因するヒューマンリスクという視点から、守るべきもの(情報)を脅かす要素がないかを確認することも必要です。
最終的には、こうした情報を扱う一連の環境と外部との接点を、その重要度に応じて管理する「ゾーニング」という物理的対策まで配慮しなければなりません。サーバルームの場所を一部の関係者だけに知らせる、看板を付けない、監視カメラを設置する……細かいことですがこうしたことも直接・間接の対策の1つになるのです。
執筆者プロフィール
坂井司 (Tsukasa Sakai)
株式会社JSOL
ITコンサルティング・技術本部 情報技術戦略部 部長
『出典:システム開発ジャーナル Vol.1(2007年11月発刊)』
本稿は原稿執筆時点での内容に基づいているため、現在の状況とは異なる場合があります。ご了承ください。