ITビジネスの情報技術は目ざましく進化している状況で、その発展は年々大きなものになっています。
業態はどんどん複雑化していますので、ソフトウェア、ハードウウェア、インターネット、Web、情報処理サービスなどそれぞれの分野ごとに抱えるリスクについて考えていく必要があります。
リスクマネジメントで対策を講じることが必要
サイバー犯罪などにより、顧客情報が流出するなど社会的に打撃を与えた事件や、プログラムの不具合でシステムダウンするといったものもありました。
リスクは発生確率と事象の結果を総合的に考慮して考えられる負の影響の度合いです。リスクはリスクマネジメントの中で特定し、そのリスクを評価した上で許容レベルに低減していくプロセスを踏んでいくことが必要になります。
IT業界でのリスクマネジメントの目的
リスクマネジメントを行う目的は、次のようなことを達成することにあります。
・組織の情報について、保存、処理、伝達を行うIT システムを適切に保護
・リスクマネジメントに対する支出の正当化
・リスクマネジメントの結果によりIT システムに対する認可や承認を行う
コストと比較して判断する必要もある
リスクマネジメントのプロセスは、IT環境特有ということではなく、日常生活全般においての意思決定に浸透しているものでもあります。
例えばホームセキュリティなどを導入している家庭もありますが、これは使用料をサービスプロバイダに支払って監視サービスにより資産を適切に保護するというものです。
導入した家では、システム導入にかかるコストと家財や家族の安全の価値を比較して検討したと考えられます。
このようにIT企業でリスクマネジメントを行うことも、IT管理者が運用と保護にかかるコストのバランスを取り、IT システムとデータを保護して業務の遂行能力を向上させることを目標とします。
リスクアセスメントの流れ
リスクマネジメントの中の最初のプロセスにリスクアセスメントがあります。システム開発などサイクル全体の中で、ITシステムに対するリスクや潜在的脅威の大きさを判断します。
①システムの特徴への定義付け
②潜在的脅威を特定
③脆弱性を特定
④リスクへの管理策を分析
⑤脅威の発生可能性を判断
⑥リスクの影響の分析
⑦リスクの判断
⑧管理策の推奨
⑨対策による結果を文書化
この流れを繰り返して行っていくことになります。
リスクマネジメントでリスクの回避と軽減を
IT業界で起こりうる可能性のあるトラブルは、ユーザーから預かったデータを毀損、紛失、消去してしまうというトラブル、運営している電子商取引サイトの個人情報が閲覧可能な状態になってしまうというトラブルなどがあります。そしてそれ以外に、解雇やハラスメントで会社側が訴えられるという労働問題も増えています。
様々なリスクに対して、どのような対策を講じていくべきかを検討していくことが重要です。
