本連載では、本来身近なはずのリスクマネジメントをシステム開発の現場でも生かすための方法論を探ります。リスクマネジメントでは、その対策をいかにして講じるかが勘所になりますが、簡単なことではありません。今回はリスクマネジネントのステップを整理した後、対策を講じる際に持つべき2つの視点について説明します。

リスクマネジメントのステップ

「リスクマネジメント」という言葉は、当たり前ではありますが「リスク」を「マネジメントしましょう」という意味を持ちます。この中には、大きく分けると3つのステップが含まれています。

 Step1:何がリスクなのかを認知する
 Step2:リスクが顕在化することを防ぐ対策を講じる
 Step3:対策の実効性について評価・改善を行う

これらをPDCA(Plan-Do-Check-Action)のサイクルに落とし込めるという考え方ももちろんありますが、ここではいったんアカデミックな議論を避けて、わかりやすい整理をしてみました。

Step1は、よく言われる「リスクの洗い出し」です。その方法の一端として、脅かされる対象である"情報"の動きを把握することについては前回の本稿で触れました。今回は、その上で「いかに対策を取るか」ということについて説明しましょう。

2つの視点から対策を講じる

「対策を講じよ」というのは簡単ですが、一体どのような考え方をすればよいのでしょう。一般的に「情報」を脅かすリスクに対抗するには、2つの視点からの対策が必要とされています。2つの視点とは、「技術系対策の視点」と「人間(運用)系対策の視点」です(表1)。

表1 対策の区分

技術系対策

人間(運用)系対策

概要

ハードウェア/ソフトウェアなどの活用により、人間の意志を介在させずにリスクを抑え込むこと

リスクの顕在化を防ぐために、その危険性を周知するとともに、顕在化を防ぐルールや運用手順を定め、リスクを回避すること

効果

・期待効果が明確で得られやすい

・万が一の事故の際にも、ツールベンダーとの連携による対応が取り得る

・システム上の記録を自動的に残しやすい

・システム投資のような大型コストを必要としない

・既存業務などとの親和性が高い

・中長期での組織風土改革にも有効

留意点

・一般的に相応のコストがかかる

・ツールによる制限のため、従来の作業に支障が出ることがある

・対策の実効性が測りにくい

・対策の漏れが発生しやすい

・運用面での記録を残すなど、人間系の処理負荷や管理負荷を伴う

さて、ではどちらの対策を講ずるのが良いのでしょうか? 答えは「両方」です。

想定される様々な脅威に対してこのような対策案を列挙した上で、それぞれの導入効果を、導入先の組織の「成熟度」などを勘案して選択していくのです。

ここでの「成熟度」とは、その組織の情報セキュリティに関する取り組み意識や、その時点までの取り組み実績、リスク対策の実効性、構成員(社員)個々の情報セキュリティに対する理解度・認識度など、様々な尺度で評価されるものです。

例えば、情報セキュリティに関する認識の低い組織に対しては、これを継続的に改善する教育だけを対策として選択してしまいますと、この教育が功を奏するまでの間、目の前のリスクに対して常に顕在化の危機と隣り合わせということになります。こうした場合は、多少業務に影響が出てしまっても、別途BPR(※)などを検討することを前提に、ショック療法的な意味も込めてツールによる一括対策を講じた方が経営の本気度も伝わります。これによって、以降の教育効果が高まることも期待されます。

※BPR(ビジネスプロセスリエンジニアリング:Business Process Re-engineering): 業務の本来の目的を損なわずに、そのやり方を改めることで一層の効果を追求すること。業界標準的な情報システム(パッケージソフト)の機能を最大限に活用して、現状業務のやり方をこれに合わせることで効果追求を行うアプローチなどがある。

『出典:システム開発ジャーナル Vol.2(2008年1月発刊)』
本稿は原稿執筆時点での内容に基づいているため、現在の状況とは 異なる場合があります。ご了承ください。

執筆者プロフィール

坂井司 (Tsukasa Sakai)
株式会社JSOL
ITコンサルティング・技術本部 情報技術戦略部 部長