Scribble at 2023-10-25 15:29:27 Last modified: unmodified

情報セキュリティのマネジメント、つまり情報資産のセキュリティ・リスクを管理する業務において、どういう実務をしているのかという話は、たいてい面倒臭いし難しいものだ。そして、門外漢から尋ねられる質問の中で最も多く、また正確に返答すると質問している相手を失望させることが多いのは、「どんなリスクがあるのか」というものだ。

これは、ISMS やプライバシーマークに関連する産業規格の運用を始めた人々が、恐らくはウェブを検索して回ったりする関心事の筆頭でもあろう。なぜなら、リスクが分からないと情報資産のリスク分析とかリスク評価ができないからだ。そして、リスク分析ができないと内部監査もできないので、これらの第三者認証で監査を受けるときに何をやったのか説明ができなくなるというわけだ。逆に、情報資産についてのリスクが分かっていれば、そのリスク・レベルも資産ごとに分析できるため、何を対策してやればいいかも分かり、そして内部監査も進められるというわけなのだ。

しかし、まず最初に気の毒なことを言うようだが、そんな「リスクの一覧表」なんてものは存在しない。というか、それゆえにリスク・マネジメントというものは継続的に実施する必要があるのだ。もし或る情報資産にどんなリスクがあるのか、最初から MECE（Mutually Exclusive, Collectively Exhaustive）として包括的に列挙可能であるなら、リスク・マネジメントなんて文字通り機械的に誰がやっても同じことなので、社内でやらなくても代行業に任せればいいし、全てのリスクに対策が取れるなら後は何もしなくても良いという話に終わるだろう。でも、情報セキュリティ・マネジメントに限らず、そんなことはありえない。これだけやれば終わりなんてことはないのだ。