東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

リスク対応の施策

リスク対応は大きく4つに分けられます。細かい対策をする前に、各リスクに対して、どのような方針で考えるのかを決めておくと対策立案がスムーズになります。前回のポイントを振り返りながら、もう少し詳しく見ていきましょう。

①リスク回避

仕事のやり方を変える、情報システムの利用方法を変えるなどして、想定されるリスクそのものをなくします。
【例】

  1. 個人情報を利用後はすぐに消去し保持しない
  2. インターネットバンキング専用のパソコンを設置し、メールやウェブ閲覧は利用しない
リスクがあるものは持たない

②リスク低減

自社で実行できる情報セキュリティ対策を導入ないし強化することで、脆弱性を改善し、事故が起きる可能性を下げます。
【例】

  1. 社用携帯にストラップを常時接続し、服につけておく
  2. 外部記憶媒体を利用の際は特定の端末のみ許可する
対策を実行

③リスク転嫁

自社よりも有効な対策を行っている、あるいは保証能力がある他社のサービスを利用することで自社の負担を下げます。
【例】

  1. 決済業務を外部の決済代行サービスに変更する
  2. 保険商品に加入する
他社へリスクを負担してもらう

④リスク受容

事故が発生しても受容できる、あるいは対策に係る費用が損害額を上回る場合などは対策を講じず、現状を維持します。

リスクを受け入れる
リスク対応マトリクス

資産の重要度は、情報資産の価値・事故の影響の大きさを示すもので、機密性、完全性、可用性から算定します。なお、資産の重要度は、セミナー4日目6ページに記載があります。

イントロダクション
リスク回避の検討ポイント
セミナー6日目TOP