リスク対応
リスクアセスメントにより、「何を、何から、どのようなレベルで守るのか」が明確になると、「どのように対策するか」を検討し実行するプロセスになります。それがリスク対応です。
リスク対応は、大きくリスクコントロールとリスクファイナンスに区分されます。
リスクコントロール
リスクコントロールとは、大きなリスクになるのを防ごうとすることです。情報セキュリティ対策はリスクコントロールの手段だとももいえます。
- 回避
- リスクが起こりそうな状況を避けることです。重要な情報を取扱っているコンピュータは社外インターネットとは完全に切り離すようなことがこれにあたります。これによりリスクは小さくなるが、情報が有効に活用できないという新しいリスクが発生する場合もあります。
- 損失制御(低減)
- リスクがインシデントになる確率を下げること、あるいは、インシデントになったときに損失を最小限に抑えること。ファイアウォールの設置により不正アクセスを防止することや、ウィルス感染になったパソコンをネットワークから隔離することなどがあたります。情報セキュリティ対策を狭くとらえれば損失制御になるともいえます。
- 分離
- 損失の対象を分離することにより、インシデントが発生する確率は大きくなるが、インシデントの影響を小規模に抑えることができます。1台のサーバに多様な機能を持たせるとダウンしたときの影響が大きいので、多数のサーバで分担することなどがあたります。損失の期待値は同じですが、一度の損害が小さいので扱いが容易になります。
- 結合
- 逆に類似のリスクをまとめることにより管理を容易にすることです。たとえば、分散している多くのサーバを情報システム部門に集中設置することにより、専門家による管理を行うことができます。これも損失の期待値を減らすものではありません。
リスクファイナンス
リスクファイナンスとは、インシデントが発生したときの大きな経済的損失を補填することです。当然そのための費用はかかるし、その費用のほうが高いのがむしろ通常ですし、すべての損失を補填するとはかぎりません。これらは、通常の情報セキュリティ対策の補完的な位置づけであるといえます。
- 保険
- もっともわかりやすいのは保険です。これは説明の必要はないでしょう。災害による情報システムの被害に対する保険や個人情報漏洩に対する保険など情報セキュリティ関連の保険もあります。
- 保有
- インシデントが起こったときのために引当金や積立金を設定しておくこと。受容リスクとして諦めるのも広い意味での保有であるといえます。
- 移転
- 損失を他人の責任にすること。たとえば、サーバの運営をアウトソーシングすることにより、サーバにインシデントが発生したとき、社外への責任は免れないとしても、インシデントそのものの損害を業者に移転することができます。