リスク事例で読む、情シスにしかできないITのリスクマネジメント

1. 情シスも知っておきたい「リスク」の話

秋と言えばサンマ。脂がのった焼き立てのサンマに、大根おろしと醤油でパクリと一口。新鮮な刺身も美味しい。サンマの構造は背側が濃い青色、腹側が銀白色になっている。これは上からは鳥などから、下からは大型の魚類に見つかりにくくするためらしい。

秋は仕事上では、次年度予算計画の立案、年度後半のスタートなどで多忙な時期でもある。多忙な中でこそ忘れてしまいがちなリスクに関する知識を情シスにも持ってもらいたいと思い、NHK時代に取り組んできたことを書いてみた。ぜひ最後まで読んで欲しい。

2.「不確実なこと」の洗い出しから始めるリスク管理

事業成長にはIT活用の機会が非常に多く存在し、依存することになっているが、莫大な量のリスクも存在している。もし自社で活用しているIT環境が突然崩壊したり、機能しなくなったりした場合、その影響を考え、経営層に話ができるだろうか。その影響をわかっているつもりでも、誰がそれを担当するのか、他人事のようになっている会社が多いかもしれない。

システムをリリースする場合、現行システムへの負荷、運用のアセスメントを行い実行しているが、リスクに関しては「どう対処していいのかわからない」という方も多いと思う。リリース前の多くのテストを経て完璧に作られていたと思っても、いくつかの条件が重なることや、予期しない出来事によって利用できなくなりリリースバックを行った経験がある。

アセスメントとは別に「リスク」について考える必要がある。それは、「危険な何か」を見つけるのではなく、「不確実なこと」の洗い出しが大切だということである。しかし、リスクの洗い出しを行うと、膨大な量のリスクと範囲の広さに驚く。これらにどう対策し、改善につなげたらいいか、リスクの管理方法（リスクマネジメント）についてお話ししたい。

リスクマネジメントとは、調査した後に解決する目標を自ら決めて実行することである。まずは具体例として、リスク事例を紹介したい。

3. リスク事例【１】…ネットワークに接続できるIT機器を把握できなかった場合

情報セキュリティの観点からリスクを考えてみる。例えば、情報セキュリティインシデントについて考えた場合、データ窃取のような情報の機密性に影響する侵害行為と、破壊的なサイバー攻撃がある。こうした攻撃の多くは企業全体のネットワークを破壊し、業務がストップしてしまうオフライン化を引き起こしている。マルウェアによる侵害を調査していくと、その目的はデータの窃取であれ、破壊であれ、侵入できたルートがある。このルートが十分管理できていなかったため侵入されたり、データ窃取の出口として利用されたりする。

リスク調査は、ネットワークに接続されているPCの把握から始まる。もし把握できていないPCがあれば、サイバー攻撃に遭っても調査が困難になってしまい、復旧作業に影響する恐れがある。システム停止に陥ってしまうことを防ぐためにも、ネットワーク機器の在庫管理・資産管理は必要で、これができているかがリスク項目であり、なぜできないかを考えていくのがマネジメントになる。前職（NHK）では、ネットワーク破壊まではなかったが、端末への被害を経験すると、IT運用への知識不足や運用ルールが守られていなかったことに気づく。

端末への被害に遭ったユーザに質問すると「特に変なメールを開いていない」と言う。何度かヒアリングを繰り返していると、なんと「古くなったパソコンを研究調査のためネットワークに接続し、使い終わったら毎回ネットから切り離していた」ということがわかった。本人には悪気はなく、「別にアプリを起動するわけでなく、ブラウザの閲覧のみにしか使わないので問題はない」と思っていたそうだ。使えるPCを捨てるのが「もったいない」という言い訳もしていた。改めて運用ルールを周知したが、困ったものだ。

この事例でおわかりだと思うが、把握できていないIT機器がどれだけあるか、潜在的リスクの増加に対処できるように取り組まなければならないということである。

4. リスク事例【２】…見落としがちなビル管理システムのリスクを総点検し意識改革へ

ビルの管理システムもサイバー攻撃に遭う危険性があり、セキュリティ対策が必要である。具体的な対策を検討するためのリスクを洗い出してみる。

■インターネットの出入り口対策

ビル管理システムの外部であるインターネットと接続する際は、ビル管理に関係のない通信を遮断する対策をしなければならない。そのための監視機能は備わっているか？

■どのくらい対策ができているのか、現状を確認する

すでにセキュリティ対策を行っている場合、サイバー攻撃への備えが現状でどのくらいできているのか？

■使用している機器やソフトウェアを把握する

インターネットに接続していないからといって、未だに Windows XP を使っている現場を見たことがある。リスクを特定するために機器やソフトウェアの資産管理ができているか？

■定期的に機器設定データのバックアップを取得する

機器の故障時やサイバー攻撃によるデータ破損の際に復元できるように、データのバックアップ取得を行っているか？

これらの項目が全てではないが、前職（NHK）では、ビル管理システムの調査を外部にお願いして、調査結果からリスクを洗い出し、改善に向けて対策を行ったことを覚えている。調査を行ったおかげで、異常発生時に「サイバー攻撃」を疑うように意識改革ができた。

この時、意識改革が目的の1つであった。その理由は普段からサイバー攻撃に関する勉強会を行ってきたが効果がなかったためだ。システム障害を、単純に機械が壊れたと思い込んでしまうと被害は拡大しかねない。これ以降、障害対応マニュアルの中にサイバー攻撃も想定した対応手順も入れてもらえるようになった。

5. まとめ〜リスクマネジメントは着実に実施し続けることが大切

なぜ、情報システムのリスクをマネジメントしなければならないか、その理由を何となくは理解できてきたのではないだろうか。しかし、情シスがどこまでやるべきか明確に決めておくべきだ。

リスクマネジメントができたからといって、事故に遭わないわけではない。リスクの範囲は広く、解決する目標を自ら決めて実行することが何よりも大切だ。誰もやらなければ重大な事故につながることを想像した場合、誰かが対応しなければならない。バランスよく効率的で負担の少ない方法を、着実に実施し続けるマネジメントができればベストである。

情報セキュリティインシデントの発生によるブランドダメージの度合いは、その企業が属する業界によって大きく異なる。例えば、サイバーセキュリティ企業は、自社でサイバー侵害インシデントが発生し、それが公になった場合のブランドダメージについて、真剣に考慮する必要がある。前職（NHK）においても、この部分は重要だった。

どんな業界においても、顧客の信頼と信用が基本資産であることに変わりはない。情シスにしか思いつかないリスクは、ITを使った業務であればあるほど、会社経営に直結している。些細な問題であっても懸念事項として捉えるべきではないだろうか。