東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

リスク対応策

リスク評価が完了したら、リスクに対して対応策を考えなくてはいけません。リスク対応策は大きく4つに分けられます。

①リスク回避

仕事のやり方を変える、情報システムの利用方法を変えるなどして、想定されるリスクそのものをなくします。
例えば、従来は商品の発送先である住所や氏名などの個人情報を発送完了後もパソコンに保存し続けていたが、保存中の漏えいを避けるために、利用後はすぐに消去する、インターネットバンキングに使用するパソコンでメールやウェブ閲覧をしていたが、ウイルスに感染しないようにインターネットバンキング専用のパソコンを設置し、ウイルス感染の原因となるメールやウェブ閲覧に利用せず、USBメモリ、外付けHDDも接続を禁止する、などがあります。

リスクがあるものは持たない

②リスク低減

自社で実行できる情報セキュリティ対策を導入ないし強化することで、脆弱性を改善し、事故が起きる可能性を下げます。

リスク低減

③リスク転嫁

自社よりも有効な対策を行っている、あるいは保証能力がある他社のサービスを利用することで自社の負担を下げます。
例えば、商品を販売するウェブサイトではクレジットカード番号を非保持化し、決済業務をセキュリティ対策を十分行っている外部の決済代行サービスに変更する、社内のサーバーで運用していた業務システムをセキュリティ対策の充実した外部クラウドサービスに移行する、情報漏えい、システム障害などの事故発生に伴う損失に対して保険金が支払われる情報セキュリティに関連した保険商品に加入する、などがあります。

リスク転嫁

④リスク受容

事故が発生しても受容できる、あるいは対策に係る費用が損害額を上回る場合などは対策を講じず、現状を維持します。

リスク受容

出典:独立行政法人情報処理推進機構(IPA)
中小企業の情報セキュリティ対策ガイドライン第3版
https://www.ipa.go.jp/files/000055520.pdf

One point

リスク対応において一番に思いつくのは低減策の実行です。セキュリティ対策の多くはリスク低減策を実行するものとなります。
低減策として、どの程度リスクに対して対応を行うのかを考えることが重要です。
また、リスクをゼロにすることはできません。最終的には、リスクに対して受容をする必要があります。