ITを取り巻く脅威とリスクを熟知して管理するリスクマネジメントとは?

TOP > コラム 2020年8月17日

ITを取り巻く脅威とリスクを熟知して管理するリスクマネジメントとは?

ITがビジネスのみならず社会生活にも深く浸透している現在、ITシステムのリスク管理は企業にとって重大です。リスクマネジメントを担う情報セキュリティ担当者は、リスク管理の強化を社内に浸透させ、経営陣と連携する必要があるでしょう。

中には自然災害やサイバー攻撃対策にかかるリソースやコストが確保できないという理由から、なかなかセキュリティ対策が進まない企業もあります。しかし、サイバー攻撃をはじめとするITリスクは目に見えにくいため、発見できた時には甚大な被害に発展していることも。リスク管理体制構築にかかるコストは“投資”と考え、早めに対策をとることが重要です。

1. リスクマネジメントの重要性とは

企業におけるIT化が進むにつれ、それに伴うリスクも多様化しています。代表的なITリスクとしてはシステム障害やセキュリティ事故、サイバー攻撃などがあり、これらのリスクに対する管理体制に重点が置かれるようになってきました。

サイバー攻撃により、顧客や従業員の個人情報といったデータが漏えい・流出が起きてしまうと、企業にとって大きなダメージとなります。これまでデータ管理業務は「IT部門の責任」と考えられていました。しかし、企業にとってデータは人材や資金とならぶ企業資産の一つ。データが失われると社会的信頼の失墜や経営そのものを危うくするなど、企業経営への影響は計り知れないでしょう。

絶えず変化するリスク環境の中で企業を守るためにも、ITリスクマネジメントの最適化が求められています。


2. サイバー攻撃で想定されるITリスクと時間差問題

サイバー攻撃などのITリスクは、脆弱性対策などの予防措置によって軽減することが可能です。しかし、サイバー攻撃の内容によってはインシデントの認知やBCPの発動判断が難しいケースも。攻撃からしばらく経って重大インシデントに気づくことも少なくありません。

そして、この「時間差」が被害の拡大、深刻化を招きます。サイバー攻撃の場合、被害範囲や潜在・顕在を含めた被害状況の把握、原因特定、対処などに日数を要します。被害内容によっては復旧までのリードタイムがさらに伸びる可能性もあるでしょう。

一方で自然災害による障害が発生した場合、BCPの発動タイミングは災害発生とほぼ同時。時間差による問題はほとんどありません。つまり、自然災害とサイバー攻撃には「レスポンスの遅さ」という違いがあります。

また、ITリスクとBCPではリソースにおける被害も異なります。以下は、サイバー攻撃と地震が引き起こすリスクを比較したものです。

リソース サイバー攻撃 地震
影響低 怪我
出社不可
社会インフラ 影響低 停電・断水
交通マヒ
建物 影響低 損壊
入館不可
IT機器 破損
使用不可
破損
使用不可
データ データの破損
改ざん・漏えいの可能性
データの破損
資金 壊れた資産の復旧・調達
漏えい賠償
改ざん復旧費用
壊れた資産の復旧・調達
サプライチェーン 影響低 同時被害
部品調達停止

ソフォス株式会社が実施した調査によると、日本でサイバー攻撃が検出されるまでの平均時間は17時間。調査対象となった12ヵ国の中で最も遅いことがわかっています。

つまり、今後はサイバー攻撃を始め、どのようなITリスクが起こるのかを想定し、認知から復旧までの時間差をどれだけ短縮できるかが、大きな課題だと言えるでしょう。

参照元:エンドポイントセキュリティの7つの気になる真実|ソフォス


3. ITリスクの対応ポイント

ITリスクの対応では、リスクの早期発見とBCP発動時のスピーディーな伝達手段が必須です。また、BCP発動後はシステムを復旧するための原因特定や改ざん・漏えいへの対策なども必要です。それぞれの対応ポイントで連携体制を構築し、効果的にIT-BCP策定を行うことが重要なのです。

これらすべてを自社内で行うと、かなりのコストと人材が必要です。とはいえ、日々新たな脅威にさらされる可能性を考えれば早急な対応が求められます。自社での対応リソースが確保できない場合、外部のサービスを取り入れるのがおすすめです。


4. ITリスク管理対策として導入したいクラウドサービス「急コール」とは

「IT管理に対応できる人員が足りない」
「緊急対応を行うスタッフの増員が難しい」
といった現場の課題をお持ちなら、ワイドテックの自動電話システム「急コール」の導入をおすすめします。

情報漏えいやシステム停止といったインシデントに対応するには、システム監視サービスとの連携や復旧を担うシステム担当者への迅速な連絡が不可欠。夜間などの緊急対応が必要な時に、特定のメールだけを電話で知らせるのがワイドテックのクラウドサービス「急コール」です。

急コールは、指定のキーワードを含むアラートメールを受信した際、最短10~15秒程で事前登録した架電先担当者へ自動で連絡できます。さらに、連絡後は架電先担当者のボタンプッシュによるレスポンスを確認し、各担当者の対応状況を管理者へお知らせします。

また、クラウドサービスならではの導入メリットもあります。

  • 社内サーバーや専用機器の設置不要
  • 低コストでの運用が可能
  • 必要な期間だけの契約も可能

夜間や時間外における緊急対応の余分な手間やコストを削減できるツールとして、ご活用いただけます。


5. まとめ

経営資産を災害やサイバー攻撃から守るには、いざという時の備えが必要です。しかし、リスク管理体制は一朝一夕に構築できるものではありません。サイバー攻撃などのリスク管理方針の策定は、経営陣の理解と協力が不可欠。リスクマネジメントはもはやIT管理を行う部署だけの課題ではなく、企業全体の問題と言えるでしょう。

リスクマネジメントやセキュリティ課題については、自動電話システム「急コール」のサービスを展開するワイドテックまでお気軽にご相談ください。