SERVICE
情報セキュリティに関するリスクアセスメントは多くの企業が実施しています。当社は、様々な企業のリスクアセスメントの事例、様々なリスクアセスメントツールに触れてきましたが、残念なことに「意思決定に繋がるリスクアセスメント」が実現しているケースは極めて少ないのが実情です。意思決定に繋がらないリスクアセスメントは極論すると無意味で非生産的な活動です。
リスクアセスメントはPDCAサイクルのP(PLAN)の一環としておこなわれます。ところが、意思決定にフォーカスされていないため、何も決まらない・決められない、という現象が起こりやすいと言えます。誰が(どの部署が)主体になってリスクアセスメントをおこなうのか、という組織の問題もあります。情報セキュリティに、主体者として取り組む部署は企業によって異なります。法務部門、総務部門、内部統制担当部門、経営企画部門が主体となるケース(「管理系」とします)、システム部門が主体となるケース(「技術系」とします)のどちらかに分類されることが多いと思います。管理系が主体となった場合は、体系的なリスクアセスメントを構想しますが、「問題解決から遠い」アプトプットしか得られないことが多いです。一方、技術系が主体になった場合に、「問題解決には近い」のですが、技術に閉じた議論になってしまい経営層が判断をするのが困難になる傾向があります。
私たちは「意思決定に繋がるリスクアセスメント」を長年に渡り模索してきました。結論として、メソドロジーとフレームワークの転換が必要であることに気づきました。PDCAサイクルはマネジメントシステムのベースとなるメソッドとして情報セキュリティの世界でも活用されています。確かに理論的には正しいのですが、実践的ではない側面もあります。そこで、OODAループという意思決定に特化したメソドロジーを採用することにしました。
また、情報セキュリティを「管理」だけ、「技術」だけに閉じ込めてはいけないと考えました。経営層、事業部門、IT部門を巻き込んで情報セキュリティの底上げをおこなうためには、ビジネス、組織、オペレーション、技術の4つの視点からアプローチする必要があります。それらをトータルに捉まえるためのフレームワークとして、Total Security Risk Assessment Framework (TRAF)を考案しました。
OODAループとは、アメリカ空軍大佐が提唱した、意思決定を重視した戦術・戦略指向の事態改善プロセス(Observe:観測、Orient:評定、Decide:意思決定、Act:行動)です。最近ではCSIRTの活動(有事のリスクマネジメント)に取り込む企業も多く、情報セキュリティ分野への拡張も可能であることが実証されています。私たちは、これを平時のリスクマネジメントにも展開することを考えました。
当社では、リスクアセスメントの評価基準“TRAF”を独自に定め、OODAループの中心的ツールとして活用しています。
“TRAF”は会社や事業により対応事項、必要事項が異なることを考慮して、柔軟にカスタマイズを行えるよう設計しています。お客様とのコミュニケーションの中で、実務に即した独自の“TRAF”をセキュリティ基準として定めOODAループを回しセキュリティ評価及び改善のコンサルティングを進めていきます。
Observe:観測
事業のBusiness(経営層/管理部門) & System(システム) & Operation(事業) をグリップするために各現場の実態を管理者/担当者にヒアリングし、スナップショットとして記録します。ヒアリングでは日常業務の中で現場が認識しているリスクを伺える場合もありますが、リスクアセスメントではこのような具体的な危機感も重要な要素となります。
このスナップショットをTRAFに参照し、Fit-Gap分析を行うことで現場のセキュリティにおける弱点を可視化します。
Orient:評定
浮き彫りになった弱点を組織あるいは事業の課題として認識し、課題のリスクレベル、対応の優先度を数値化して算出します。この時、課題自身のリスクだけでなく、課題を実施する際のリスクも分析することにより、後の意思決定の重要な判断材料とすることができる点が肝要です。また、課題を確実に実施するための実現可能な対応計画を策定し、目標到達スケジュールを可視化することで、対応の方向性を明確化します。
Decide:意思決定
評価結果及び対応計画を経営層に報告し、対応計画への意思決定をいただきます。意思決定に必要な要素としてこれまでのプロセスで導きだした“TRAF”のアウトプット、会社全体あるいは経営戦略に基づく方針、そしてこれらの情報をもとに議論されることにより醸成された経営層の合意が必要です。報告は議論の場を生み出すプロセスですが、時に現場と経営層の間で意見の対立が発生することもあります。その際、当社が間に立ち、現場の認識や取り組み、他社事例などの一般的な対応や認識を判断材料として提示することで、相互に納得できる意思決定に辿り着くことができます。
Act:行動
経営層の意思決定事項を明確にし、現場に伝達します。確実に実施できるよう現場を支援し、定期的に進捗状況を確認します(点検)。また、必要に応じてプロジェクト管理ツールなどを活用し、対応状況を管理いたします。
定期的な点検では、当社コンサルタントが対応状況や環境の変化などを確認し、必要に応じて対応計画の軌道修正を図ります。
OODAループは現状に満足できればそれがGoalです。しかし、それがたとえどんなに完璧なGoalだったとしても、ビジネス、社会情勢、法令、ヒト、モノなど様々な要因で常に変化し、求められるGoalは常に変化していきます。つまり、Observeフェーズで取得するスナップショットも毎回異なり、その都度新たなリスクの芽が生まれているのです。また、評価基準となるTRAFもその考え方をもとにすると見直しを続けなければならないものとなります。当社のリスクアセスメントでは、最新の基準で最新のスナップショットを観測した上で、質の高い意思決定にエスコートいたします。