OODAループによるアプローチ

OODAループとは、アメリカ空軍大佐が提唱した、意思決定を重視した戦術・戦略指向の事態改善プロセス（Observe：観測、Orient：評定、Decide：意思決定、Act：行動）です。最近ではCSIRTの活動（有事のリスクマネジメント）に取り込む企業も多く、情報セキュリティ分野への拡張も可能であることが実証されています。私たちは、これを平時のリスクマネジメントにも展開することを考えました。

TRAF（Total security Risk Assessment Framework）によるアプローチ

当社では、リスクアセスメントの評価基準“TRAF”を独自に定め、OODAループの中心的ツールとして活用しています。
“TRAF”は会社や事業により対応事項、必要事項が異なることを考慮して、柔軟にカスタマイズを行えるよう設計しています。お客様とのコミュニケーションの中で、実務に即した独自の“TRAF”をセキュリティ基準として定めOODAループを回しセキュリティ評価及び改善のコンサルティングを進めていきます。

リスクアセスメントの流れ

Observe：観測

事業のBusiness（経営層／管理部門） ＆ System（システム） ＆ Operation（事業） をグリップするために各現場の実態を管理者／担当者にヒアリングし、スナップショットとして記録します。ヒアリングでは日常業務の中で現場が認識しているリスクを伺える場合もありますが、リスクアセスメントではこのような具体的な危機感も重要な要素となります。
このスナップショットをTRAFに参照し、Fit-Gap分析を行うことで現場のセキュリティにおける弱点を可視化します。

Orient：評定

浮き彫りになった弱点を組織あるいは事業の課題として認識し、課題のリスクレベル、対応の優先度を数値化して算出します。この時、課題自身のリスクだけでなく、課題を実施する際のリスクも分析することにより、後の意思決定の重要な判断材料とすることができる点が肝要です。また、課題を確実に実施するための実現可能な対応計画を策定し、目標到達スケジュールを可視化することで、対応の方向性を明確化します。

Decide：意思決定

評価結果及び対応計画を経営層に報告し、対応計画への意思決定をいただきます。意思決定に必要な要素としてこれまでのプロセスで導きだした“TRAF”のアウトプット、会社全体あるいは経営戦略に基づく方針、そしてこれらの情報をもとに議論されることにより醸成された経営層の合意が必要です。報告は議論の場を生み出すプロセスですが、時に現場と経営層の間で意見の対立が発生することもあります。その際、当社が間に立ち、現場の認識や取り組み、他社事例などの一般的な対応や認識を判断材料として提示することで、相互に納得できる意思決定に辿り着くことができます。

Act：行動

経営層の意思決定事項を明確にし、現場に伝達します。確実に実施できるよう現場を支援し、定期的に進捗状況を確認します（点検）。また、必要に応じてプロジェクト管理ツールなどを活用し、対応状況を管理いたします。
定期的な点検では、当社コンサルタントが対応状況や環境の変化などを確認し、必要に応じて対応計画の軌道修正を図ります。

限りないGoalに向けて

OODAループは現状に満足できればそれがGoalです。しかし、それがたとえどんなに完璧なGoalだったとしても、ビジネス、社会情勢、法令、ヒト、モノなど様々な要因で常に変化し、求められるGoalは常に変化していきます。つまり、Observeフェーズで取得するスナップショットも毎回異なり、その都度新たなリスクの芽が生まれているのです。また、評価基準となるTRAFもその考え方をもとにすると見直しを続けなければならないものとなります。当社のリスクアセスメントでは、最新の基準で最新のスナップショットを観測した上で、質の高い意思決定にエスコートいたします。