・ |
サイバーリスクに対処するためにはリスクマネジメントの基本を押さえなければならない。リスクマネジメントの基本は、リスクの認識、評価、対応の3つのステップを確実に行うことである。 |
・ |
第一に、最近のサイバー攻撃の動向などについて知っておくことが必要である。こうした知識によって、自社を取り巻くサイバーリスクを識別することができる。 |
・ |
認識したリスクを評価する場合、発生可能性と影響度(損害の大きさ)の2軸で評価するのが基本である。こうしてリスクの重要度を評価することで、取り組むべき優先順位を決めることができる。 |
・ |
リスクを評価した後には対応方法を考えなければならない。リスクの対応方法は、回避、移転、低減、受容の4つである。 |
・ |
「回避」は原因となる行動そのものを止めることだが、現代ではサイバー空間の利用は不可欠であり、回避という対応方法は選択できない。 |
・ |
「移転」とは保険や外注化により、リスクを他組織などに転嫁すること。最近では情報漏洩保険なども充実してきており、最低限の移転は行う必要がある。 |
・ |
サイバーリスクのマネジメントの取り組みの中心は「低減」である。さまざまな予防策によってリスクの発生可能性、発生した場合の損害の軽減を図る取り組みである。 |
・ |
「受容」とは、リスクを評価した結果、各種の対応コストと発生した場合の損害、発生確率を良く比較し、対応コストが見合わないと判断した結果、あえて対応しないと決める行動である。受容は「放置」とは全く異なるものであることを認識すべきである。放置とは知っていても手を打たないことであり、それは「コンプライアンス上の問題」となる。表面的には同じように見えるが、「受容」は積極的な行動であり、「放置」は消極的な行動と言える。 |
・ |
サイバーリスクに対しては、脅威を完全に予期する事が難しく、脅威を回避する完璧な軽減策も難しい。防ぐことができないサイバー攻撃に対して、「無傷ではいられないが致命傷を負ってはならない」という基本姿勢が重要である。情報流出や電子機器攻撃によって、自組織やステークホルダーにどのように影響が及ぶかの顛末を、評価、管理する姿勢と言える。 |
・ |
サイバーリスクの脅威に対して、幅広なコンプライアンス対応の意識を持つことが顧客満足につながる。サイバーリスクへの意識の欠如は、「サイバー無策は高くつく」という結果を生む。 |
・ |
サイバーセキュリティではなく「サイバーリスクのマネジメント」と認識することで上記のような具体的視点が得られる。 |