リスク管理(リスクマネジメント)とは？

ビジネスリスクを理解することの重要性

ビジネスリスクを理解することは、深刻かつ長期的で大きな損害をもたらす可能性のあるさまざまな因子や変動要因を可視化して、より適切に管理できるようにするために非常に重要です。具体的なリスク要因を理解できれば、潜在的な脅威、損失、混乱を事前に特定するだけでなく、脅威に適切に対処し、最適なリソースやインフラを割り当てて、深刻な損失を最小限またはゼロに抑えることができます。

リスクのタイプ

組織が直面するビジネスリスクのタイプはさまざまですが、一般的なのは、業務、財務、コンプライアンス、レピュテーション、戦略、セキュリティに関するリスクです。また、それらのリスクに対するマネジメントも応じて変化します。

• 業務リスク：停電などの技術的な障害から、従業員の操作ミス、詐欺、手順やポリシーの順守ミスまで、日常業務における予期しない障害や問題を指します。
• 財務リスク：組織のキャッシュフローを特に脅かすリスクを指します。
• コンプライアンスリスク：コンプライアンスに関する法規制は適宜変更されるため、気付かないうちに規制に違反して高額の罰金やその他の重い罰則を科せられるリスクが常にあります。
• レピュテーションリスク：大規模な訴訟、製品の回収、不祥事などの悪評、製品やサービスに対する派手な批判など、組織のブランドや評判に広範囲かつ長期的な悪影響を与える可能性のあるリスクを指します。
• 戦略リスク：技術の変化、新しい競合企業の登場、消費者の需要の変化、間接費や原料費の高騰、その他の大きな変化によって、目指す指標や目標の達成が妨げられたり戦略の効果が低下したりするリスクを指します。
• セキュリティリスク：脆弱性の悪用、データの盗用、データの改ざんを通じたシステムのマルウェア感染、不正アクセス、その他の脅威によって、資産の損失、損傷、破壊を被るリスクを指します。

総リスクコスト(TCoR)とは

総リスクコスト(TCoR)は、リスク管理と損失発生に関するあらゆる面での運用コストの総額を表す、定量化および管理可能な指標です。TCoRの計算には、保険料、控除額、無保険損失とそれに関連する損失調整費、規制違反による罰金、内部/外部リスク管理費、管理費、税金と手数料などが含まれます。組織にとって、リスクを理解するうえでTCoRの計算能力は重要な要素です。

セキュリティリスクの要因

セキュリティリスクの要因の1つは「人」です。従業員や外部プロバイダーなどの不満、不注意、情報不足などが要因になります。また、デバイスやアプリケーションの欠陥や脆弱性もセキュリティリスクの大きな要因です。たとえば、モバイルデバイスからの社内データの漏えい、パッチの未適用、機器やシステムの陳腐化、パブリッククラウドアプリケーションの脆弱性、セキュリティポリシーの不備があります。 

データ漏えいのリスク

データ漏えいは、組織に深刻で、多くの場合は長期的な影響をもたらし、リスクをさらに増加させます。

サイバー攻撃を防げずにデータが流出すると、ほぼ確実に組織の財務リスクが増大します。特に明白なコストには、被害者への金銭的補償や、漏えいによって盗まれた金銭の補填があります。また、法規制違反として政府や規制当局から厳しい罰金を科せられることもあります。たとえばGDPRでは、最大で2,000万ユーロ(約2,200万ドル)または世界の年間売上高の4％のいずれか高い方が罰金として科せられます。さらに、データ漏えいを起こした組織は株価の急落を避けられない一方で、漏えいの再発に備えて支払う保険料は必然的に上がります。

データ漏えいは、多くの直接的なコストに加えて、長期的な影響ももたらします。データ漏えいを起こした組織は、消費者からの信頼の低下、顧客の減少、市場シェアの喪失など、長期的な評判の低下に直面します。また、個人情報や財務情報が漏えいした場合、その情報の所有者はなりすましの被害に遭う危険があるため、漏えいを起こした組織はその後数カ月ときには数年にわたって訴訟や和解への対応を求められるリスクがあります。

リスク管理を行うためのステップ

リスク管理は通常、リスク評価、リスク分析、リスク緩和の3つのステップで行います。

• リスク評価：ITインフラやネットワーク内で、データの喪失、収益の損失、ダウンタイム、可用性の低下、コンプライアンス違反につながる脆弱性を特定します。主な目標は、侵害される可能性の高い資産とその手段を洗い出すことです。
• リスク分析：ITセキュリティイベントによって悪影響を受ける可能性を割り出します。このステップでは通常、脅威ハンティングや侵入テストを行って脆弱性を明らかにするだけでなく、現在のセキュリティ対策をありのままに調査して、これらの脅威がビジネスに与える影響を評価する必要もあります。
• リスク緩和：脅威とそのセキュリティへの影響を軽減するための計画を作成して対策を実行します。たとえば、組織レベルのポリシーと手順の構築、必要な人材の雇用や既存の従業員の教育、新しいセキュリティコントロールの確立、新しいテクノロジーの導入などです。また、セキュリティの優先順位を決め、問題の解決方法を明文化し、是正措置を講じる必要もあります。

セキュリティリスクの緩和策

セキュリティリスクを緩和するための重要なステップの1つは、攻撃に対する脆弱性を特定し、侵害を検知するための体制を整備することです。サイバー脅威の評価を定期的に実施すれば、アプリケーションの脆弱性、マルウェア、ボットネット、古いデバイス、リスクのあるデバイスを検出して、セキュリティリスクの早期発見と緩和につなげることができます。また、リスク評価は、ユーザーの生産性を分析し、システムで実行されているアプリケーションを確認すると同時に、帯域幅の使用状況など、ネットワークの使用率とパフォーマンスを把握して、問題が発生する前に不審なトラフィック急増を発見するためにも役立ちます。

• 侵害の検知：侵害の兆候は攻撃のタイプによって異なりますが、共通する危険信号がいくつかあります。たとえば、通常とは異なる時間帯にログインが行われる、システムが予期せず再起動する、ネットワークの遅延や不可解な大量のトラフィックが長時間発生する、許可していないソフトウェアが使用される、セキュリティアプリケーションが誤動作する、不審なIPアドレスからアクセスがあるなどはすべて、侵害が行われているか、すでに行われたことを示している可能性があります。
• 脆弱性の特定：パッチ未適用の古いデバイスは脆弱性があり、攻撃の踏み台になることがよくあります。高度なマルウェアの多くは、まず無期限に休止状態を維持し、きっかけ(システムが最も脆弱になる再起動や更新など)が起きると作動して、パッチ未適用の脆弱性を突いてデータを盗み出したり、偵察活動を行ったり、システムを麻痺させたりします。

自動化によるリスク軽減

リスクに包括的に対処する方法の1つが自動化です。自動化を取り入れれば、脅威の検出とインシデントの解決をより効率化および体系化できます。IT運用、脅威と脆弱性の管理、構成、コンプライアンス監査、アイデンティティガバナンスなどの重要システムはすべて、リスク管理プロセスの一部として自動化できます。これらのシステム内で発生するオペレーションやセキュリティインシデントはITリスクリポジトリにマッピングできるため、インシデント対応チームは、組織に対するそれぞれのリスクレベルを評価できます。

たとえば、新しく登録された脆弱性に関する詳細をリスク管理ソリューションに自動的にダウンロードし、それをトリガーにインシデント調査を実行して、事前に定義された基準に基づいてインシデントのリスクと重大度を分類できます。そして、脅威の分類後、自動化システムによって必要なアクションプランを実行します。さらに、脆弱性が脅威になった場合はリスク評価プロセスを実行し、脅威のCVE番号に基づいてパッチ管理プロセスを開始することでプロアクティブにリスクに対応することもできます。

リスクに対する業界別のアプローチ

ヘルスケア、金融サービス、行政機関など、業界によって顧客層、コンプライアンス規制、目標、資産は異なるため、リスクの回避、緩和プラン、関連する投資判断に対するアプローチも大きく異なります。以下に例を挙げます。

• ヘルスケア：ヘルスケア組織は従来から患者の安全に重点を置いてきましたが、ヘルスケアに関するリスク管理はますます複雑になっています。その要因として、ヘルスケアテクノロジーやそれらをつなぐヘルスケアネットワークの役割の拡大、サイバーセキュリティの脅威の増加、業界規制の強化、法的および政治的状況の変化が挙げられます。ヘルスケア業界が特に懸念するリスクには、HIPAA (医療保険の相互運用性と説明責任に関する法律)などのコンプライアンス規制の違反、医療ミス、強化が進むヘルスケアポリシーの違反、患者データの漏えいや改ざんを目的とした高度化するサイバーセキュリティの脅威などがあります。
• 金融サービス：金融サービス業界のリスク管理で中心となるのは、業務リスク、信用リスク、市場リスク、外国為替リスク、ビジネスリスク、法的リスク、レピュテーションリスク、セキュリティリスクの緩和です。特に、数億単位の偽の顧客口座の作成から、マネーロンダリング、銀行手数料詐欺まで、さまざまなセキュリティ違反や不祥事が発覚したこともあり、おそらく他のどの業界よりもレピュテーションリスクが高いと言えるでしょう。また、金融犯罪リスク管理(FCRM)も必要になります。
• 行政機関：政府の運営に対する脅威は、自然災害から、人為的災害、技術的な障害、サイバースパイ、セキュリティインシデントまで、多岐にわたります。行政サービスの多くは公衆衛生と公共の安全に不可欠であるため、そのリスク管理戦略では、一時的な利便性の低下であっても重大なインフラ障害であっても、あらゆる混乱を最小限に抑える必要があります。

リスク管理フレームワーク(RMF)とは

リスク管理フレームワーク((Risk Management Flamework)は、米国政府のITシステムの構築、監視、保護方法を定めた一連のガイドラインです。政府機関は、RMFを使用することで、ITインフラとセキュリティについて一貫性、再現性、信頼性の高い基準を作成できます。

これらのリスク管理基準は、運営に悪影響を及ぼす可能性のあるリスクを特定できるよう設計され、米国国防総省や米国国立標準技術研究所など、機関ごとにガイドラインが定められています。

• DoDリスク管理フレームワーク：2014年に国防総省(DoD)が発行し、政府機関とその委託企業がITセキュリティリスクを防止するために従うべき6つのプロセス(分類、選定、実装、評価、認可、監視)を定めています。
• NISTリスク管理フレームワーク：米国国立標準技術研究所(NIST)は商務省配下の非監督機関で、組織がリスク管理の原則とベストプラクティスを適用して重要インフラのセキュリティとレジリエンスを向上できるようにすることを目指しています。また、政府機関だけでなくあらゆる組織でサイバーセキュリティ関連のリスクを管理するために役立つ標準、ガイドライン、ベストプラクティスをまとめた自主的なサイバーセキュリティフレームワークも公開しています。
• 重要インフラのサイバーセキュリティを改善するためのフレームワーク：サイバーセキュリティリスクをより適切に管理するためのさまざまな業界標準とベストプラクティスを引用した、リスクベースのフレームワークです。既存のリスク管理プログラムを強化する場合でも新しいプログラムを構築する場合でもガイドとして有用です。
• COSOフレームワーク：トレッドウェイ委員会組織委員会(COSO)が1992年に、主に財務コンプライアンスに関する内部統制を評価することを目的に作成し、現在広く使用されています。このフレームワークは、組織文化、リスク評価、管理活動、情報通信、監視の5つのコンポーネントで構成されています。
• 全社的リスクマネジメント(ERM)：リスクマネジメント協会のERM協議会が「十分なリターンを求めてあらゆるビジネスリスクを管理する能力」と定義するERMは、セキュリティだけでなく企業全体に焦点を当てています。このフレームワークは、組織がビジネスを新たな戦略的方向に進めるためにリスクを取るべきか否かを判断するのに役立ちます。

資産の保護にリスク管理は不可欠

今日、厳しさを増すコンプライアンス規制から、次々に登場する破壊的なサイバーセキュリティ脅威まで、組織がデータ、資産、評判に関するリスクの増大に直面していることは明らかです。そのため、ビジネスの運営には今や効果的なリスク管理が不可欠です。

包括的なリスク管理プログラムを構築すれば、セキュリティリーダー、管理者、ポリシー作成者は以下の点を強化でき、組織全体で幅広いメリットが得られます。

• 論理的かつ体系的なアプローチを確立して、ITセキュリティを継続的に改善する
• 組織に特に深刻な損害をもたらすリスクを判別し、データと資産の両方を保護する
• そのようなリスクをプロアクティブに検出して、サイバー攻撃が甚大な被害をもたらす前にリスクを軽減する
• 適切なリソースと人材を割り当て、効果的に活用する方法を判断する
• 事前に計画を立てて、組織がセキュリティインシデントを適切に管理し、インシデントからより迅速かつ容易に回復できるように準備する

包括的なリスク管理計画は、セキュリティリーダーやセキュリティチームがこれらの取り組みを実現するために役立ちます。セキュリティと運用の両方の観点から、CIO、セキュリティアナリスト、管理者はビジネスを継続的に改善して、組織に損害をもたらし最終的には収益に悪影響を及ぼす可能性のある重大なセキュリティリスクやコンプライアンスリスクの適切な管理と軽減につなげることができます。