企業に潜むITリスクとは。ITリスクマネジメントに取り組むステップと運用のポイント
デジタル化が進む今、企業の生産性向上や柔軟な働き方の推進などを目的にさまざまなITシステム・サービスが導入されており、事業活動に欠かせない業務基盤となっています。
その一方で、セキュリティの脆弱性によって企業への損害を招く“ITリスク”が懸念されており、安全にITインフラを運用するためのITリスクマネジメントが必要とされています。
企業のIT関連業務に携わる管理者のなかには「ITリスクとは具体的にどのようなものなのか」「ITリスクマネジメントはどのように取り組むのか」と気になる方もいるのではないでしょうか。
この記事では、ITリスクの分類やITリスクマネジメントの取り組み方、運用のポイントについて解説します。
目次[非表示]
- 1.企業に潜む3つのITリスク
- 1.1.①人的リスク
- 1.2.②セキュリティリスク
- 1.3.③自然災害によるリスク
- 2.ITリスクマネジメントに取り組むステップ
- 2.1.①情報資産を洗い出す
- 2.2.②起こりうるITリスクを把握する
- 2.3.③ITリスクを分析して優先順位をつける
- 2.4.④ITリスクの対応策を講じる
- 3.ITリスクマネジメントを運用する際のポイント
- 4.まとめ
企業に潜む3つのITリスク
ITの進化とともに、便利になっただけでなくリスクも拡大してきました。企業に潜むITリスクは、主に3つの種類に分けられます。
①人的リスク
人的リスクは、主にヒューマンエラーによって生じるITリスクを指します。
▼人的リスクの例
- ノートパソコンやUSBメモリの紛失
- 添付ファイルの間違い など
人的リスクが発生する原因には、情シス部門でのセキュリティ対策の甘さや従業員による意識の低さなどが考えられます。
人的リスクを防ぐには、USBやCDといった外付け情報媒体の持ち出しを制限したり、従業員へのセキュリティ教育を行ったりする対策が求められます。
②セキュリティリスク
セキュリティリスクとは、主に外部からの攻撃によって生じるITリスクのことです。ITシステムに保存された情報が第三者に窃取されて漏えいが発生したり、不正なプログラムが実行されて操作ができなくなったりするおそれがあります。
▼セキュリティリスクの例
- コンピュータウィルスの感染
- 第三者によるITシステムへの不正アクセス
- ネットワークやIT機器へのサイバー攻撃 など
セキュリティリスクが生じる原因には、ネットワークやITシステムに脆弱性がある、または情シス部門での管理体制に不備があるなどが考えられます。
外部からの攻撃を遮断して脅威を検知できるツールを導入したり、不正な通信を監視してアクセス制限を行ったりする対策が求められます。
なお、セキュリティリスクと対策については、こちらの記事で詳しく解説しています。併せてご確認ください。
③自然災害によるリスク
ITリスクは、自然災害によって生じる可能性もあります。
▼セキュリティリスクの例
- 停電によるITシステムの停止
- 洪水・浸水による機器の故障
- 地震による機器の破壊 など
自然災害によってITシステムの停止や機器の故障・破損などが発生すると、事業活動を継続できなくなったり、重要なデータが消失したりするおそれがあります。
いつ発生するか予測ができないITリスクのため、万が一の際に事業の継続とデータの保護ができるように備えておくことが必要です。
>>社内システム運用管理業務トータルサポートサービスに関する資料ダウンロードはこちら
ITリスクマネジメントに取り組むステップ
情報漏えいやシステム停止、データの損失などのITリスクを防ぐには、自社で起こりうる脅威を分析して必要な対策を講じることが重要です。ここからは、ITリスクマネジメントに取り組むステップを解説します。
①情報資産を洗い出す
ITリスクマネジメントを行う際は、始めに情報資産を洗い出すことが必要です。
企業の情報資産には、自社が保有している個人・組織に関するデータ本体だけでなく、そのデータにアクセスしたり、保存・加工・出力したりする機器やシステムも含まれます。
洗い出した情報資産は、重要度に応じてアクセスレベルを設定して分類することで、それぞれのレベルに応じたセキュリティ対策を検討できます。
▼情報資産に対するアクセスレベルの設定例
- 社外秘
- 部外秘
- 一般公開 など
②起こりうるITリスクを把握する
自社で構成されているITインフラにおいて起こりうるITリスクをすべて洗い出して、全容を把握します。ITリスクを洗い出す際は、情報セキュリティを構成する3つの要素を軸に脆弱性がないか考えることがポイントです。
▼情報セキュリティを構成する3つの要素
要素 |
確認する項目 |
1.機密性 |
端末またはシステムに保存されたデータについて、許可していない 人物による持ち出しや盗み見のリスクがないか |
2.完全性 |
データの改ざんやシステムの不正な制御が行われるリスクがないか |
3.可用性 |
システムの停止や障害、IT機器の破損などによってデータへの アクセスができなくなるリスクがないか |
また、企業が保有する情報資産や業務フローの観点から起こり得るリスクを洗い出したあとは、現状におけるセキュリティ対策のレベルを段階別に評価します。
③ITリスクを分析して優先順位をつける
ステップ1で洗い出したITリスクを分析して、重要度に応じて対応の優先順位をつけます。
▼ITリスクを分析・評価する基準
- ITリスクが発生する可能性(発生確率)
- 企業や業務などに及ぼす影響度
- ITリスクが発生した場合に失われる情報資産の価値 など
ITリスクの発生確率や影響度などを数値化して可視化することで、対処が必要となる重要なITリスクを把握できるようになります。
また、すべてのリスクに対して網羅的な対策を行うには、リソースやコストの面で現実的とはいえません。ITリスクの発生頻度が高く、企業や業務への影響度が大きい箇所から対応できるように優先順位を定めておくことが重要です。
④ITリスクの対応策を講じる
ステップ2で整理したITリスクについて、優先度が高い順に対応策を講じます。
ITリスクへの対応策には、主に4つのパターンがあります。
▼リスク対応の方法
方法 |
概要 |
具体例 |
リスク低減 |
ITリスクの発生確率や影響度を下げる |
|
リスク回避 |
ITリスクの発生原因を取り除く |
|
リスク移転 |
ITリスクの発生原因を外部に移す |
|
リスク受容 |
リスクを認識しつつ、あえて対応を行わない |
|
ITリスクへの対応策を講じるには、運用管理のリソースとコストが発生することから、発生確率や影響度が低い場合にはあえて対応しないケースも考えられます。
ITリスクマネジメントを運用する際のポイント
ITリスクマネジメントを運用する際は、以下のポイントを押さえておくことが重要です。
▼運用のポイント
- 社内コミュニケーションを円滑化する
- 運用体制やプロセスの評価を行う
ITリスクマネジメントは、組織全体で取り組む必要があります。経営層や情シス部門でITリスクの対応策を講じても、現場の従業員が必要性について理解していない場合、形骸化してしまう可能性があります。
ITリスクマネジメントの重要性や取り組みについて周知する機会を設けたり、定期的な研修によって意識づくりを行ったりすることが重要です。
また、ITリスクマネジメントが有効に機能しているか内部監査によって評価することもポイントの一つです。内部監査によるモニタリングと客観的な評価を実施することで、運用上の課題を把握して改善につなげられます。
なお、マネジメントシステムの規格となるISO認証については、こちらの記事で詳しく解説しています。併せてご確認ください。
まとめ
この記事では、ITリスクマネジメントについて以下の内容を解説しました。
- 企業に潜む3つのITリスク
- ITリスクマネジメントに取り組むステップ
- ITリスクマネジメントを運用する際のポイント
企業が事業活動を行うなかで、ヒューマンエラーやサイバー攻撃、自然災害によってさまざまなITリスクが発生する可能性があります。情報漏えいやシステム障害、データの破損などを防ぐには、ITリスクマネジメントに取り組むことが重要です。
ITリスクマネジメントに取り組む際は、自社で起こりうるITリスクを洗い出したうえで、発生確率や影響度などの優先度が高い順に対応策を検討することがポイントです。また、ITリスクマネジメントの運用についてリソースやノウハウに課題を持つ場合には、ITアウトソーシング(業務代行)を活用する方法もあります。
FGLテクノソリューションズの『社内システム運用管理サービス』では、ITインフラの安定した運用に向けたセキュリティ対策や保守管理をサポートしています。貴社のIT環境や課題に応じて、必要な対策をご提案いたします。
サービスの詳細については、こちらから資料をダウンロードしていただけます 。