リスク低減の検討ポイント
リスク低減は、発生確率や頻度、損害、損失などを減らす対策をすることです。セキュリティの取り組みは、リスク低減となることが多いです。
リスク低減の特徴は以下の通りです。
リスク低減の特徴と例
リスクが発生する可能性や損失する損害額を減らしていくことが特徴です。セキュリティ対策としての技術的な対策や、セキュリティ規程の作成等を組み合わせます。
リスク低減の例
火災に備えて消火器を設置することで、損失の可能性を低減します。地震に備えて拠点を複数設置することも損害の可能性を低減する対策といえます。ウイルス対策ソフトなどの導入もリスク低減の一つです。
リスク低減が推奨される事例としては以下のようなものがあります。リスク低減では、事故を起こさないという発想だけでなく、損害を少なくするという視点も重要です。そのセキュリティ対策はどのリスクに働きかけ、発生確率を低減するのか、損害を小さくするのかなどを検討することが重要です。
こんな事例も
ある会社では、情報流出に対してリスク低減を進めています。情報流出のリスクの一つに、メールを起因としたウイルス感染がありました。これに対応するため、メールの利用ルール(組織的対策)を定め、従業員へ教育(人的対策)を行います。さらに、端末にウイルス対策ソフトを導入(技術的対策)するとともに、メールの無害化サービスを導入し、メールを起因としたウイルス感染の発生回数を減らしました。メール無害化サービスでは、添付ファイルを無害化したり、メールに含まれるURLを無害化するなどの特徴があります。
別の会社では、リスクの発生回数を減らすための対応が充実してきたため、損害を小さくするための対応を進めています。情報の保管の仕方を工夫し、インシデントが発生した場合でも影響を受ける範囲を最小限にとどめています。さらに、何か問題があった場合にもすぐ検知できるように取り組んでおり、影響を受ける時間も最小限になるように努めています。
情報流出に対して、発生確率を減らすとともに損害を受ける範囲や時間を減らしていくことで情報流出のリスクを低減しています。