ISMSにおけるリスク対応とは？初心者でもわかるように5分で解説！

「情報セキュリティにおけるリスク対応とは何？」
「リスク対応にはどのような方法がある？」とお考えの企業担当者様もいらっしゃるかと思います。
リスク対応とは、起こりうる、また、実際に起こったリスクに対して様々な手順を踏み解決、または対応していく必要があるのです。

なぜなら、一つのリスクに対して部分的な解決をしても、根本のリスクへの対応とは言えないからです。

この記事では、リスク対応とは何か、そしてリスク対応の方法、リスク対応の進め方について解説します。

読み終えていただければ、自社のリスクに対して適切な対応をとり、リスクの影響を最小化するための対策方法がお分かりになるはずです。

1.リスク対応とは情報を入手・分析・適切な対処方法を検討した後に行う活動

リスクの影響度や、リスクの発生する確率などに応じて対応していく必要があります。

2.リスクの対応方法

前述の通り、リスク対応の方法として、「対策の計画を立てる」必要があります。

この対策には選択肢があり、一般的には以下の4つが挙げられます。

1. リスク回避
2. リスク低減
3. リスク移転
4. リスク保有（受容）

この4つのうちのいずれか、または複数の方法を組み合わせてリスク対応を行います。

リスク対応は、リスクの発生確率の高さと、発生した場合の影響度の高さをもとに決定するのが一般的です。

発生確率が高く、発生した場合の影響度も高いリスクはできる限り「回避」する対応を取り、発生確率が低く影響度も低いリスクは「保有（受容）」して特別な対応を取らないなどのように考えます。

リスク対応の4つの方法について、解説していきます。

（1）リスク回避

リスク回避とは、損失が生じる可能性のあるリスクそのものを取り除くことです。

リスクの発生確率が高く、発生した場合の影響度も高い場合は、一般的に回避の選択を検討します。

また、リスクを発生させる可能性のある事業活動そのものの継続を断念することもリスク回避の1つとなります。事業活動を続けることで得られる利益より、予測される損失の方が大きい場合、事業活動停止の判断を選ぶことが多いです。

（2）リスク低減

リスク低減とは、発生する可能性のあるリスクの発生確率を下げる、もしくは発生時の影響度を下げる、あるいはこの両方の対策をとることです。

例えば、社内で保管している機密情報へのアクセス権限を管理したり、サーバールームへの入室管理システムを導入することなどが挙げられます。これらの対策により、情報流失や不正アクセスなどのリスク低減が可能となります。

またリスクを分散させることもリスク低減の方法の1つです。

（3）リスク移転

リスク移転とは、発生の恐れのあるリスクを自社外の第三者へ移転することです。リスク共有とも呼ばれます。代表的な対策は「保険」への加入で、一定期間ごとに保険料を支払うことで将来的に発生した損害に対して保険料を受け取ることでリスクに対応します。

情報セキュリティにおける例として、サーバーを自社で管理するのではなく、データセンター（サーバーを管理する施設）を保有しセキュリティ対策を厳重に行っている社外のレンタルサーバーを利用するなどの方法です。

（4）リスク保有（受容）

リスク保有とは、発生する可能性のあるリスクへの対応をせず、リスクを受け入れることです。

リスクが受け入れ可能なほど軽微な場合や、とるべき対策がないなど、やむを得ない場合に選択されることがあります。

考えられる全てのリスクに対応することは難しいため、発生確率が低く、発生した場合の影響度も低いリスクに関しては受け入れることも重要になります。

どのリスク対応にリソースを割き、どのリスクを保有するかを考えるためには、リスクの優先順位を決める作業も必要です。

3.リスク対応は被害を最小限に抑えるためにも必要

企業で起こる可能性のあるリスクに対応しないまま放置しておくと、自社の情報資産に損害が及ぶだけでなく、取引先企業様やお客様にまで影響が及ぶ可能性も考えられます。

自社や取引先企業、顧客などに損失を与えるトラブルが、できる限り発生しないようにするために、リスク対応が必要となります。

例えば、万が一トラブルが発生した場合、被害を最小限に抑えることもリスク対応に取り組むべき理由です。

自社の情報資産に対するリスクを全て把握して対応することは難しいものの、少しでもリスクが起こる確率、そして発生した場合の影響を少なくするためにもリスク対応が必要です。

4.リスク対応の進め方

リスク対応は、以下のような工程で進められます。

• リスクの特定と評価
• リスク対応方法の決定
• リスク対応計画の作成
• リスク対応の実行と監視

ここでは、リスク対応の進め方について解説していきます。

（1）リスクの特定

リスクの特定とは、企業の事業目的に関連してどのようなリスク要因があるかをすべて洗い出すことです。

リスクをしっかりと洗い出す方法として、以下の対応が有効となります。

• 過去に発生したリスクを参照する
• 業務担当者の協力を仰ぐ

自社が抱えるリスクを明らかにすることで、何に対しどのような対策をとるべきかを適切に把握することができます。

（2）リスク評価（リスクアセスメント）

洗い出したリスクに対する評価を行います。リスクに対する評価では、リスクが生じる可能性や発生した場合の事業への影響度などを分析します。

リスクを評価することによって、優先的に対処するべきリスクがどれかを判断しやすくなります。

ここでの優先順位は、以下の２つに基づき決定します。

• 発生した際の影響が大きいもの
• 発生する頻度・可能性

（3）リスク対応計画の作成

次に、リスク対応を進めるための計画を作成します。リスクは生じる可能性が高いと評価されたものや、すぐ取り組むことができるものから対応していきます。
リスクへの対応は、先述のとおり回避・低減・移転・保有といった選択肢があります。想定されるリスクに対してどの対策が適しているかを考え、具体的な対応策を検討しましょう。

（4）リスク対応の実行と監視

計画に沿ってリスク対応を実行した後は、進捗状況や得られた結果などを監視します。
リスク対応を進めていく上で、計画を立てた当初から状況が変わったり、新たなリスクが発生する場合もあります。

リスク対応の状況を定期的に記録・監視し、分析することで必要に応じて対応の見直しや計画の修正を行うことで、より効果的な対応が可能となります。検討・実施・評価・改善（PDCA）を回して、常に意識していくことが大切です。

5.まとめ

結論から言うと、リスクをゼロにすることはできません。

そこで、リスクを回避・低減・移転、保有の4つの方法を状況に応じて適切に選択、又は組み合わせて対応していく必要があります。

しかし、リスク対応によって変更した業務フローが、今までなかった新たなリスクを生む可能性もあります。

リスク対応を進めていく際には、リスクの特定・評価を行った上で、検討・実施・評価・改善（PDCA）を回して、常に意識していくことが大切です。

リスクが発生してしまった時にどのように対応するか、そのリスクの発生頻度や影響度はどのくらいかを洗い出し、どのような対応方法をとるべきかということを整理しておきましょう。