【リスク対策】まとめ

全9話に渡るリスク対策の記事があがったので全体を整理していきたいと思います。

【参考資料】

これ全部読んで対策すれば中小企業、ほとんどの中小企業・NPOはベストを尽したと言える思います。むしろ、これ以上は色々なリソースが足らなくなると思います。
ただ、この内容でもかなり実行ハードルが高いです。

中小企業の情報セキュリティ対策ガイドライン：IPA 独立行政法人 情報処理推進機構

【勉強会テーマ】リスクって何？対策ってどこまでする？

そもそも何でこの勉強会を開こうと思ったかというと、リスク対策を自分でやったときにまじでしんどかったからです。
「えっ、これ全部やるの？」、「えっ、これって重要？」、「えっ…？」、「えっ…？」、「えっ…？」みたいな連続でした。

あとは、周辺の知り合いが、本業を推進したいのに、リスク対策や、インシデント対応に時間を取られている現状がありました。
そういうのも何とかしたいなと思ったことがキッカケです。

【ケース】寄付関連業務

ケースは何でも良かったのですが、NPOをターゲットにした場合、必ず行う業務だったため選択しました。

【対象】 NPOの情シス・NPOの経営者・寄付したことがある人

重要なのは、経営者と、寄付側の人も知っておいて欲しいということです。
リスク対策には結構な時間と、金額がかかるケースが多いです。
また、リスクの判定も経営者が最終的には行います。
そのため経営がこれを知っている必要があります。

また、寄付する側は自分の情報はどうなっているのか知っておいた方が良いです。
情報漏洩などが発生した場合真っ先に被害を受けるのは寄付者です。
「寄付するから、対策の内情を教えて」その上で「もっとちゃんとしてほしい」など言う権利もあると思います。被害を受けてからクレームを言っても、遅いんです。

【ゴール】

・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。

2時間の勉強会や、この記事を読んでもやってみないとわからないです。
ただ、やらないといけないとみんな思って出来ていないのが実態だと感じています。そのため、最初の一歩を踏み出せることをゴールとしました。

１．業務フローを書く

最初は業務フローを書くところから。
これの出来具合でMECEなリスクの洗い出しが出来ると思います。
また、業務改善とかでも使えるので、業務フローの書き出しが出来るだけでも全然違うと思います。

業務の終了を定義して、全体の流れをちょーざっくり書いて、登場する人物、ツール、データを整理が前準備となります。
そのあとに業務フロー図の枠を作って、粒度を細かくしていくことで作っていきます。

２．ステークホルダーを洗い出す

次にステークホルダーの洗い出し。
リスク対策で関係する人を洗い出します。

業務フローのスイムレーンと、情報セキュリティ対策をする上で一般的に必要な組織図を元にステークホルダーを洗い出します。
ステークホルダーを洗い出しただけだと、ぱっと見何をしているかはわからないので、各ステークホルダーの役割や関係性を記載します。

３．情報資産を洗い出す

ここからはIPAのリスク分析シートにおんぶに抱っこでした。

業務フロー図から情報資産をピックアップし、IPAの提供しているExcelテンプレートに埋めていきます。
洗い出した情報資産ごとに保存先を明記し、その他セルを穴埋めます。

４．リスクを想定する

ここからようやく「リスク」という言葉が登場しました。
ここまでで挫折しそうになるのですが、ここからが本番です笑

リスクとは、脅威と、脆弱性に分類できます。
脅威と脆弱性の両方の観点と、攻撃想定、オペレーションミス、システムエラーの観点からリスクを想定します。

５．脅威の大きさを見積もる

脅威の大きさとは、情報資産の重要性とイコールです。
重要な情報資産とは組織に大きな悪影響を及ぼしたり、事業に影響を及ぼします。

情報資産ごとに、機密性、完全性、可用性を評価することによって重要度を算出します。

６．脆弱性の大きさを見積もる

脆弱性の大きさとは、リスクの発生頻度になります。
サイバー攻撃の流行や、オペレーションの複雑性などを考慮して算出していきます。

「４．リスクを想定する」で想定したリスクごとに、対策しなかったらどのくらいの頻度で発生するのか？いまどこまで対策しているのか？を点数化します。

７．リスク値を計算する

「リスク値＝驚異の大きさ ＊ 脆弱性の大きさ」となります。
ただし今回のやり方で出たリスク値はそのまま鵜呑みにすると違和感があることを説明しました。

算出されたリスク値と感覚をすり合わせます。

８．対策を考える

リスク値が洗い出せたところで、何からやっていけばいいの…ってなります。
ひとつのフィルタリング方法を紹介しました。

感覚とすり合わせた後のリスク値の高いものから、対策を考えていきます。
IPAの「リスク分析シート」を参考に対策の実施の必要性、実施状況加筆する形で整理していきます。

９．todoと期日を決める

最後にTodoと期日を決めました。

フィルタリングした対策から、実際にやるものを整理し、担当者と期日を追記します。

まとめ

新しい業務が出来たら、業務フローを書いて、情報資産洗い出して、リスクを数値化して、対策を考えて実行する。そして、定期的に見直していく。ということでリスク対策は続いていきます。

そもそも何でリスク対策ってするんでしょうか。
私は、
・受益者と組織を守るため
・本業を安心安全な状況で遂行するため
と捉えています。

ただ、リスク対策ってやっていてネガティブな要素が多くなって辛いんですよね。特にひとりだと。
どんなに頑張ってもひとつのミスや、実際のインシデントで、自責の念に押し潰されそうになります。それがわかっていてやるリスク対策ってとっても辛いです。

なので、業務改善のついでくらいに思えると気は楽かもしれません。
業務フローの作成、から業務改善とセットでリスク対策を実施すると、マイナス→０だけではなく、プラスの効果も出るようになります。

結局インシデントが起きれば、対応に追いやられるのですが、それでも対策を練っているときは前向きな気持ちで向き合えると思います。

手段だけではなく、気持ちの面でもリスク対策を実行する人の負担が減れば幸いです。

勉強会とは別に番外編として、
・経営提案
・運用
についても記載する予定ですので、そちらも乞うご期待ください。