ネットワーク最新情報

ネットワーク・セキュリティー講座

第34回「総合的なリスク管理……RCMとERM」

(2008/6/19)

全社的な戦略の重要性が高まる

企業におけるセキュリティー対策の目的は、自社の業務上のリスクを可能な限り減らすことにあります。ネットワークの普及によって、外部/内部の組織が緊密に結びつけられるようになった結果、企業が考慮しなければならないリスクは増加しました。コンピューター・ウィルス、Web改竄、情報漏洩など、対応すべき多くの危険が企業を取り巻いている状況です。これらの危険に対して個別に対応する「対処療法」を充実することは、システム管理者にとって重要な要件になっています。

しかし、対処療法を用意するだけではセキュリティー対策としては不十分です。何か問題が起こってから対処するのでは遅いこともあるからです。ネットワークに接続されたコンピューターにウィルスが感染する、漏れだした情報がネットワーク経由で広がる……被害が大きくなるスピードは上がっていて、より素早い対応をしなければ被るダメージが大きくなってしまうからです。

セキュリティー対策を考える上で重要になっているのは、事前の“戦略”です。自社の業務に内在するリスクを洗い出し、事前に対応策を検討。あらかじめ、事が起こった場合の用意をしておく。といった大きな視点での対策を立てておくことが求められるようになっているのです。こうした考え方に基づいて生まれたのが「ERM」「RCM」です。いずれも、企業全体のリスクを管理する手法として、多くの企業が取り入れるようになっています。

ERMで総合的なリスク・マネジメントを

戦略的な視点で全社規模のリスク・マネジメントを行う手法として登場したのが『ERM』です。これは、Enterprize Risk Managementの略語。企業や組織が業務を行う上で考え得るすべてのリスクを網羅し、管理するという考え方です。企業や組織は、その目標を達成するために多種多様の意思決定、業務遂行を実施します。ERMでは、その一つ一つのプロセスに着目し、顕在/潜在するリスクを把握・評価します。同時に、それぞれのリスクについての対応策も用意。事前に対応策を準備しておくことで、備えあれば憂いなしという体制を整えます。

考え得るリスクに対して事前に準備しておく……という発想は、ERM以前にもありました。しかし、こうしたリスクマネジメントの手法は、部門や部署ごとの最適化を目的としたものとなっていました。ERMでは、組織全体の視点からリスクを評価する部分が異なっています。ERMでは、異なる部門でそれぞれ生じるリスクを比較検討して軽重をつけたり、複数のリスクが相互に影響し合う度合いなどを評価します。いわば、組織としての“全体最適化”を目指しており、効果的なリスク管理が可能になります。

ERMの考え方が登場したのは、1990年代です。日本では阪神淡路大震災を契機に、この考え方が広がりました。2001年には「JIS Q 2001 リスク・マネジメント・システム構築のための指針」が制定されています。欧米でも2001年の同時多発テロなどで危機管理体制の充実が求められ、2004年にはアメリカのトレッドウェイ委員会組織委員会(COSO)がCOSO ERMフレームワークを発表しています。

RCMの作成で、より具体的な対応策を準備

意思決定まで含めた組織全体の活動を対象にしたERMと対照的なのが、業務プロセスのみに着目したRCM(Risk Control Management)です。RCMは、自社が行う業務プロセスを細分化し、それぞれの業務におけるリスクを抽出。そのリスクを制御するための方法を具体的に記述した文書(一覧表)のことを指します。日本版J-SOX法(金融商品取引法)の施行で注目を集めた「内部統制」には欠かせない文書として知られています。

自社の業務を遂行する上で、どのようなリスクが考えられるか。RCMを作成することで、リスクを具体的に“見える化”できます。また、リスクに対する対応策を具体的に記述することにもなりますので、抜け・漏れのない準備が可能になります。さらに、対応策が見あたらないリスクがあれば業務プロセス自体を見直すことも可能です。RCMを作成することで、自社の業務プロセス全般を洗い出すことができるようになるわけです。

ERMやRCMは、経営管理上に必要な手法として考案されたものです。しかし、セキュリティー対策に関わる技術者にとっても有効な考え方です。RCMの手法を用いてリスクを明確にし、対応策を考えておく。ERMの手法で、組織全体の視点からリスクを評価する。こうすることで、ともすれば対処療法に終われがちなセキュリティー対策に、戦略的な運営方針が加えられることになります。RCMの簡略版のような一覧表を作ってみるだけでも、セキュリティー対策の実効性は高まります。外部/内部にある脅威に対抗するために、リスクの洗い出しと対応策の検討を事前にしておくようにすることは、これからの技術者に求められる資質と言えるでしょう。

Back to page Top