企業におけるセキュリティにおいては、標的型攻撃などリスクの多様化と変化に柔軟に対応することが求められている。本稿では、セキュリティリスクへのアプローチの方法と、リスク低減のために行うべき継続的モニタリングの重要性について述べる。
ISOなどに基づいてセキュリティ・フレームワークを構築している企業は多いものの、自社のビジネスプロセスに合わせて、セキュリティリスクを分析し、対策を講じている企業は少ないだろう。手法はさまざまあるが、どのようにリスクの管理を行えばよいのか、多くの作業担当者は頭を悩ませていると思われる。現在、企業を取り巻くリスクは多様化しており、タイムリーにリスクを認識し対応することが求められている。リスク管理の妥当性を評価するためには、業績管理で用いているKPIを、リスクマネジメントのコントロール活動や、リスクの低減状況のモニタリングなどに活用することが有効と考えられる。KPIがタイムリーでかつ正確な状況を表すこと、KPIの数値的意味を適切に理解すること、KPIにより必要なアクションを特定し実行につなげることが求められよう。アクションにつながらない数値管理は意味がなく、数値の変動がどのような意味を示唆するのかもあらかじめ理解し、必要となるアクションを適時適切に実施することがセキュリティリスク・マネジメントのために有効な手段となる。本稿では、リスクマネジメントの国際規格であるISO31000のプロセスをもとに、置かれている状況の確認、リスクの特定、リスクの体系化と評価、リスク対応、モニタリングの順にアプローチの方法を述べる。