本連載では、本来身近なはずのリスクマネジメントをシステム開発の現場でも生かすための方法論を探ります。前回は、リスクマネジメントを実施する際のステップと考え方について説明しました。リスクマネジメントの対策はさまざまであるため、うまく組み合わせる必要があります。今回は、いかにしてリスクマネジネントのベストな対策を探り当てるかということについて考えてみましょう。

前回、技術系の対策と人間(運用)系の対策の例をいくつか紹介しました。それらを実施するにあたって、もう少し掘り下げてみたいと思います。

例えば、洗い出されたリスクの中に、「社員のメール誤送信による情報漏えいのリスク」があったとします。このリスクへの対策を網羅的にリストアップすると、主に以下の表のような対策が考えられます。

社員のメール誤送信による情報漏えいリスクへの対策の組み合わせ

技術系対策 (例)

人間(運用)系対策 (例)

送信先フィルタによる制御

メール利用ポリシーの策定

メール自動暗号化ツールの導入

メール利用ポリシーの教育

メール査閲システムの導入

勉強会/オペレーション説明会の開催

メールログの全件記録

送信ボタン押下時の注意喚起

キーロガーの導入 etc.

メールアドレス付与者の制限 etc.

まず技術系対策を見てください。メール誤送信という考えられる現象に対して2通りの対策例を挙げています。すなわち、「誤送信そのものを抑止する対策」と「誤送信が起きてもその送信先をトレースできる=影響範囲を把握してリスクを局所化する対策」です。

他の選択肢や高機能のツールが考えられますが、ポイントは「考えられる対策を網羅的に列挙すること」です。こうすることで、本来考えるべき対策の漏れを極力抑えることができるようになります……と言うと簡単に聞こえるかもしれませんが、この辺りは、実際に情報セキュリティに長けた要員に相談すべきでしょう。

同様に人間系についても見てください。いずれも、直接投資を必要とせずに、これらの対策の実効性が高確率で期待できるのであれば、左列の技術的対策を講じるための投資を行わなくても、十分なリスク抑止効果が期待できます。

ここで、前に触れた「組織の成熟度」がキーファクターになることはおわかりでしょう。すなわち、以前から教育や統制の行き届いていない組織においては、こうした人間系の対策はすべて「絵に描いた餅」となり、実際の効果がまったく得られないという状況にもなりかねません。

つまり、技術系対策と人間系対策を、求められている環境に応じて最適に判断するという判断者の役割も重要になるということです。

現場のエンジニアがリスク対策を評価・検討する場合は、これらの対策のメリットやデメリットを、具体的な投資額などの判断情報を付加して提供することが求められるのです。

執筆者プロフィール

坂井司 (Tsukasa Sakai)
株式会社JSOL
ITコンサルティング・技術本部 情報技術戦略部 部長

『出典:システム開発ジャーナル Vol.2(2008年1月発刊)
本稿は原稿執筆時点での内容に基づいているため、現在の状況とは異なる場合があります。ご了承ください。