【リスクマネジメント入門】リスク対応について調べてみた
こんにちは。システムソリューション営業本部の清水です。
皆様、セキュリティ対策していますか?
一口に「セキュリティのリスク」といっても、その発生頻度や発生時の影響の大小で、取るべき対応は様々です。
今回は一般的に知られるリスク対応の方法について調べてみたいと思います。
国際標準化機構(ISO)によるガイドラインによると、リスクとは「目的に対する不確実性の影響(Effect of uncertainty on objectives)」と定義されています。
出典:「ISO31000:2009, Risk management – Principles and guidelines」
リスクとは、世間一般的に悪い出来事を指す言葉(危険・危機等)として利用されがちですが、
国際標準における定義上は、上記の通り、良し悪しにかかわらず、潜在的に起こりうる結果(影響)そのものを指します。
なお知っておきたいポイントとして、リスクとはまだ問題が起こっていない状態である、ということです。
あくまでリスクは「目的に対して影響を与える可能性がある状態」を指しており、逆に問題とは「目的に対してすでに影響を与えている状態」となります。認識しておきましょう。
リスクマネジメントの代表的な流れに、リスクを特定し、分析し、評価し、対応するといったプロセスが存在します。
そして対応した結果をモニタリング・レビューし、協議したうえで、新たなリスクを特定する・・・といったサイクルが、リスクマネジメントの代表的な管理プロセスとなっています。
出典:「日本工業規格 JISQ31000:2019「リスクマネジメント‐指針」(Risk management – guidelines)」
リスクマネジメントそのものについては今回は割愛し、以降はリスクマネジメントにおける「リスク対応」について掘り下げていきたいと思います。
すなわち、すべてのリスクに対して、その発生確率と発生時の影響が正しく評価されている状態を指します。
特定のリスクに対して取るべき対策は、一般的に以下の4つに大別されます。
・リスク回避
・リスク低減
・リスク移転(共有)
・リスク保有
これら4つを単独もしくは複数組み合わせることで、リスクに対して対応を行います。
リスク発生の可能性が高く、また発生時の影響が大きいものは、一般的に回避の選択を検討します。
事業そのものの継続を断念する、といった例が当てはまります。
例えば地震などの災害に備え、耐震補強工事を行ったり(被災確率の低減)、
被災時にも事業を継続できるよう、BCP対策を行うこと(被災時の影響の低減)などの対応が挙げられます。
一般的に、リスク発生の可能性は低いものの、発生時の影響が大きいものに対して選択を検討します。
先ほどの地震の例でいうと、大規模災害に備えて保険に加入したり、重要なデータ等をクラウドに保管し管理体制を委任すること等を指します。
リスクが受け入れ可能なほど軽微な場合や、取るべき対策が無い(または対策にはリスクに見合わない金額・労力が必要である)等、やむを得ない場合等に選択されることがあります。
図の分布はあくまで一例であり、実際にはその時々で様々な対策を組み合わせて対応を行います。
また企業ごとの戦略により、多少のリスクには目を瞑ることもあれば、なるべくリスクを低く抑えるべく可能な限り対策をとる場合もあります。
リスクへの対応方法は千差万別であり、正解がありません。
そのため、実施したリスク対応が本当に正しかったのか、定期的に確認し、都度軌道修正をする必要があります。
またリスクは社会の変化に伴い日々変化するため、対策当時は適切だったとしても、数年後には異なる対応が必要となるかもしれません。
一度のリスク対応に安心せず、リスク対応に終わりはないと心得て粘り強く対応する必要がありそうです。
今回触れた内容はリスクマネジメントのほんの一部分であり、実際には様々な体系や枠組みが存在します。
どれも大切な概念となりますので、今後も引き続き勉強を続けたいと考えております。
最後までお読みいただきありがとうございました。
皆様、セキュリティ対策していますか?
一口に「セキュリティのリスク」といっても、その発生頻度や発生時の影響の大小で、取るべき対応は様々です。
今回は一般的に知られるリスク対応の方法について調べてみたいと思います。
リスクとは
そもそも、「リスク」とは何でしょうか。国際標準化機構(ISO)によるガイドラインによると、リスクとは「目的に対する不確実性の影響(Effect of uncertainty on objectives)」と定義されています。
出典:「ISO31000:2009, Risk management – Principles and guidelines」
リスクとは、世間一般的に悪い出来事を指す言葉(危険・危機等)として利用されがちですが、
国際標準における定義上は、上記の通り、良し悪しにかかわらず、潜在的に起こりうる結果(影響)そのものを指します。
なお知っておきたいポイントとして、リスクとはまだ問題が起こっていない状態である、ということです。
あくまでリスクは「目的に対して影響を与える可能性がある状態」を指しており、逆に問題とは「目的に対してすでに影響を与えている状態」となります。認識しておきましょう。
リスクマネジメントとは
リスクマネジメントとは、前述の通り不確定なリスクを管理し、コントロールしていく活動を指します。リスクマネジメントの代表的な流れに、リスクを特定し、分析し、評価し、対応するといったプロセスが存在します。
そして対応した結果をモニタリング・レビューし、協議したうえで、新たなリスクを特定する・・・といったサイクルが、リスクマネジメントの代表的な管理プロセスとなっています。
出典:「日本工業規格 JISQ31000:2019「リスクマネジメント‐指針」(Risk management – guidelines)」
リスクマネジメントプロセス
リスクマネジメントそのものについては今回は割愛し、以降はリスクマネジメントにおける「リスク対応」について掘り下げていきたいと思います。
リスク対応
リスクマネジメント活動によって、リスクの特定、分析、評価までが適切になされた状態を前提に話を進めます。すなわち、すべてのリスクに対して、その発生確率と発生時の影響が正しく評価されている状態を指します。
特定のリスクに対して取るべき対策は、一般的に以下の4つに大別されます。
・リスク回避
・リスク低減
・リスク移転(共有)
・リスク保有
これら4つを単独もしくは複数組み合わせることで、リスクに対して対応を行います。
4つのリスク対応の概要図(一例)
リスク回避
リスク回避とは、リスクを生じさせる要因そのものを排除することを指します。リスク発生の可能性が高く、また発生時の影響が大きいものは、一般的に回避の選択を検討します。
事業そのものの継続を断念する、といった例が当てはまります。
リスク低減
リスク低減とは、リスクの発生確率、および/または、発生時の影響を低減させる施策です。例えば地震などの災害に備え、耐震補強工事を行ったり(被災確率の低減)、
被災時にも事業を継続できるよう、BCP対策を行うこと(被災時の影響の低減)などの対応が挙げられます。
リスク移転
リスク移転とは、発生の恐れがあるリスクを第三者に移転する施策です。リスク共有とも呼ばれます。一般的に、リスク発生の可能性は低いものの、発生時の影響が大きいものに対して選択を検討します。
先ほどの地震の例でいうと、大規模災害に備えて保険に加入したり、重要なデータ等をクラウドに保管し管理体制を委任すること等を指します。
リスク保有
リスク保有とは、発生しうるリスクに対して特段の対策をとらず、リスクを受け入れる(許容する)ことを指します。リスクが受け入れ可能なほど軽微な場合や、取るべき対策が無い(または対策にはリスクに見合わない金額・労力が必要である)等、やむを得ない場合等に選択されることがあります。
図の分布はあくまで一例であり、実際にはその時々で様々な対策を組み合わせて対応を行います。
また企業ごとの戦略により、多少のリスクには目を瞑ることもあれば、なるべくリスクを低く抑えるべく可能な限り対策をとる場合もあります。
リスクへの対応方法は千差万別であり、正解がありません。
そのため、実施したリスク対応が本当に正しかったのか、定期的に確認し、都度軌道修正をする必要があります。
またリスクは社会の変化に伴い日々変化するため、対策当時は適切だったとしても、数年後には異なる対応が必要となるかもしれません。
一度のリスク対応に安心せず、リスク対応に終わりはないと心得て粘り強く対応する必要がありそうです。
おわりに
いかがでしょうか。今回触れた内容はリスクマネジメントのほんの一部分であり、実際には様々な体系や枠組みが存在します。
どれも大切な概念となりますので、今後も引き続き勉強を続けたいと考えております。
最後までお読みいただきありがとうございました。
