ISMS構築|情報セキュリティ計画の「リスク」と「機会」|サイバーセキュリティ.com

ISMS構築|情報セキュリティ計画の「リスク」と「機会」



情報セキュリティ計画における「リスク」と「機会」。これも多くのISMS解説書などで曖昧にされているところです。

また、どう見ても間違った方向に誘導してしまっているものも見かけます。だから余計に誤解が進んでしまうのでしょう。今回はリスクと機会の考え方について、それぞれを見ていきましょう。

「リスク」の捉え方

誤解が生じやすい主たる原因は“和訳”の問題です。リスクを説明する際原文では、

  • positive risk
  • negative risk

という言葉を使用しているのですが、この「positive risk」を“好ましいリスク”とか“良い方のリスク”と表現する方がいるので、余計に混乱してしまうのです。

一般に日本語で「リスク」と言うとどういうイメージを持つでしょうか。普通は良くないイメージですよね。それにも関わらず“好ましい”や“良い方”とか言われると「あれ?」と混乱してしまう。「リスク」は“良くないこと”でいいんです。もう少し正確に言うと“良くないことが起きる可能性”ですね。

情報セキュリティ計画での「リスク」とは

まず、この「リスクと機会」という言葉が「計画」に対して付いていることに注目しましょう。

  • 計画に対してリスクがある。
  • このリスクは計画に対してのブレである。

ここまでは良いです。ですが、計画に対してのブレは「良いブレ」と「悪いブレ」がある、というからおかしくなるんです。「計画に対してのブレ」は全て良くない可能性があるんです。だからリスクなんです。

企業経営における様々な「リスク」

赤字のケース

例えば、営業目標で「3カ月で1000万円の売り上げ」という目標があったとします。

もちろん、3カ月で達成すれば万々歳ですね。では、3カ月で700万円しか達成しなかったらどうでしょう。この場合は問題が生じる可能性があります。これが「リスク」です。何らかの対策を考えなければなりません。

上記の様なケースでは、「リスク」がすぐに理解出来るのではないでしょうか。

黒字でも「リスク」になり得るケース

では、3カ月で1500万円を売り上げたらどうでしょう。これは万々歳ですか?…営業部員だったらそうかも知れません。ですが、“経営者”として考えた場合は、そうも言っていられないのです。

  • 商品の手配はできるか?
  • 原価率は確保できるか?
  • 納期限に間に合うのか?
  • 運転資金は確保できるか?

計画が上ブレしたことによる様々な影響を考慮しなければいけません。「黒字倒産」というのは、この様な場合に起こります。(「たまごっち」の会社なんかもそうでしたよね。)

つまり、“計画からのブレ”は、上ブレしようが下ブレしようが良くないことが起きる可能性があるということです。だからリスクなんです。計画からブレたら“どんなことが起きるのか”、予め検討した上で何らかの対策が必要となるのです。

「機会」の捉え方

では、続いて情報セキュリティ計画における「機会」についてです。これも“和訳”の影響で混乱が生じています。

まず、ここでいう「機会」は“chance”ではないことを知らねばなりません。原文では「opportunity」を使っています。SWOT分析で言う“O”です。必然的にたどり着く“機会”のことなんですね。偶然性のある“chance”ではありません。日本語ではこの両者を曖昧にして「チャンス」というカタカナ語で表記する為、誤解を受けますが、両者は本質的に違うものです。

  • 計画を着実にこなしていくと出てくるもの
  • 計画を達成するためにやっておくべきこと

これが、ここで言う「機会」なのです。

「リスク」と「機会」が示すもの

上記までの内容をまとめると、「情報セキュリティ計画のリスクと機会」とは、『計画達成に対してのブレ要因、計画達成のためにやっておくべきことやれることを、分析して対応できるようにしとけ』という、“当たり前”のことを言っているだけなのです。

経営マネジメントの「リスク」と「機会」

ここまで長々説明しましたが、実は「リスクと機会」というものは経営マネジメントでは普通に使っている言葉なんです。有価証券報告書では経営計画のリスクと機会は必ず記載すべきものです。

現在のISOマネジメントシステムが経営マネジメントシステムと統合を目指している以上、必ず組み込むべき概念なのです。

もし、コンサルタントや審査員が、この内容についてきちんと説明が出来ないとしたら、その人は経営マネジメントシステム自体を理解していないということです。一体どの様にISOマネジメントシステムと経営マネジメントシステムとの統合を図るんでしょうか。

日本のISOは、良くも悪くも「品質」から始まりました。マネジメントと言いながら、経営より現場中心で構築され、経営層の関与が比較的薄くても審査通過優先で進んでしまったのです。

経営におけるベストプラクティスを求め、ISOマネジメントシステムを導入しているはずにも拘わらず、ISOのルールが優先され、経営効率が悪くなる事態まで発生してしまいました。ISO国際会議はその弊害を認識したからこそ、「経営マネジメントシステムとの統合」を強く訴えるようになったのです。

まとめ

この様に、これからのISOマネジメントシステムは、経営観点を持たないコンサルタントや審査員では妥当な指導ができません。

ISOマネジメントシステムは、ISOである前にマネジメントシステムです。経営を圧迫するような仕組みだとしたら、それは仕組み自体がおかしいのです。コンサルタント・審査機関選別の際は、十分にこの点をチェックしてみて下さい。

次回は、“何となく”で指定されがちな「リスク所有者」とは誰なのか、を解説させていただきます。


SNSでもご購読できます。