東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

コラム
~リスクを正しく評価する~

リスクアセスメントでは、脅威や脆弱性といったさまざまな情報をもとに考えていきます。情報漏れがないか、検討漏れがないかなど常に気を使う作業です。リスクアセスメントをするためには、業務フローなども把握していきます。運用の脆弱性を確認するためです。業務フローなどはベースラインアプローチで全体像を把握していきます。全体像が把握でき、危険そうなポイントや重要な資産に関係するポイントは形式的なアプローチでより詳細を把握していきます。

詳細の把握ができたら、詳細リスク分析で各資産について脅威や脆弱性を把握していきます。個人情報などを含む資産は詳細リスク分析を行うことが多いです。詳細リスク分析を行う過程で脆弱性の可能性がありそうな場合には、関係者へ話を聞くなどし資産の扱い方を確認することもあります。
これらのリスクアセスメントはセキュリティ担当者一人で行うのではなく、関係者を巻き込んで行うと良いです。正しく業務内容を理解し、資産を把握し、脅威や脆弱性を網羅します。関係者が集まって検討することでより精度の高いものが出来上がります。また、時々は専門家の意見を聞くことで脅威の情報がアップデートされ、より精度が上がっていきます。

編集後記

リスクアセスメント、リスクマネジメントはセキュリティ担当としては是非とも身につけたいスキル・知識の一つです。対策を考えて実行することも重要ですが、本当にその対策が有効なのか、これから取り組む施策にどのような対策が必要なのかを考えることにつながります。セキュリティ対策をどこまでやれば良いのかわからないという話もよく聞きますが、これらもリスクアセスメントを適切に行うことで判断がつくようになります。勿論、初めは本当にこれでいいのかと悩むこともあると思いますが、セキュリティ担当者として、判断をして行ってください。ただ、一人でその責任を背負いこむのではなく、経営層や関係者が積極的にフォローすることが重要になります。全員で会社のリスクに対して取り組みましょう。