関連情報のフローも整理する
情報の流れに伴う関連情報についても、「誰から誰へ」「どのような媒体で」「どの経路で」動くのかということを整理します。これは「そこにどんなリスクがあるか」を連想しやすくするためです。情報の「発生点」は紙媒体の手渡しですが、「紛失したらどうしよう」「保管する場所は安全なんだろうか」など、行為が行われる現場を思い描いてみれば、そこに潜在する不安・心配事がリアルになってくるはずです。
また、システム上にデータを保管する場合にも、「そのディレクトリは安全な(アクセス制御ができている)のか?」「ディレクトリにあるデータの改ざん・破損の可能性はないのか?」「システムが停止した場合に容易に復旧できるのか?」など、同じように考えることができます。
後はこのような心配事に対する実効的な防御策を講じれば、これこそが「リスクマネジメント」となるわけです。
システム設計の段階で、こうした対策の一片が織り込まれることがあるかもしれませんが、情報(守りたいもの)の動きに合わせてリスクを把握・防御すれば、対策に漏れが発生することを抑止しやすくなります。
小さな心配事も関係者でシェアすべし
こうした分析を進めていくと、物理的な対策や大きな投資を必要とする対策など、システム開発の現場だけではカバーできない対策が必要とされることがあります。こうした対策については、リスクマネジメントを専門とする第三者の力を借りるなどして、全体の運用設計や業務面も含めたBC/DR(Business Continuity:事業継続 / Disaster Recovery:災害復旧)への対応など、組織的な意思決定が求められます。だからと言って、システム開発の現場の人間が「それは自分の仕事ではない」と避けてはダメです。気付いた心配事は、必ず上司や関係者に提言・進言しなければなりません。
「気にはなっていたけど」のままプロジェクトが進み、後で大きな手戻りが発生する……、「知っていたけど……」のまま見て見ぬふりで情報漏えい事故が発生する……。自身が叱責されて済めばいいのですが、システムの受注先の企業によっては、事業存続の危機に陥るほどのリスク要因となることを肝に銘じるべきです。
『出典:システム開発ジャーナル Vol.1(2007年11月発刊)』
本稿は原稿執筆時点での内容に基づいているため、現在の状況とは
異なる場合があります。ご了承ください。
執筆者プロフィール
坂井司 Tsukasa Sakai)
株式会社JSOL
ITコンサルティング・技術本部 情報技術戦略部 部長