【リスク対策】８．対策を考える

それでは、前回リスク値が出たので対策を考えていきます。
全部やっていたら時間はいくらあっても足りないので、「リスク大」のものから手を付けましょう。

【勉強会テーマ】リスクって何？対策ってどこまでする？
【ケース】寄付関連業務
【対象】 NPOの情シス・NPOの経営者・寄付したことがある人
【ゴール】
・セキュリティ対策のやり方の感覚を掴む。
・自法人に戻って半日～1日で対策案まで立てられるようになる。
【時間】2時間(うち15分の休憩はさむ)
【アジェンダ】
１．業務フローを書く
２．ステークホルダーを洗い出す
３．情報資産を洗い出す
４．リスクを想定する
５．脅威の大きさを見積もる
６．脆弱性の大きさを見積もる
７．リスク値を計算する
８．対策を考える
９．todoと期日を決める
【前提】
・特定のNPOの事例ではありません。HPを通して寄付を集めて、領収書発行するまでの汎用的な業務フローを想定しています。

前回のおさらい

脅威の大きさ、脆弱性の大きさを見積もったことでリスク値が算定されました。
ただし、リスク値は鵜呑みにすべきではなく、感覚ともすり合わせる必要性について説明しました。

今回は、そのリスク値が本当に高いと判断したものについて対策を考えていきます。

前提知識）リスク対策の種類

IPAの「中小企業の情報セキュリティ対策ガイドライン」の「 情報セキュリティ関連規程」で、対策は11個の種類に分けてあります。

１．組織的対策
２．人的対策
３．情報資産管理
４．アクセス制御及び認証
５．物理的対策
６．IT機器利用
７．IT基盤運用管理
８．システム開発及び保守
９．委託管理
１０．情報セキュリティインシデント対応ならびに事業継続管理
１１．個人番号及び特定個人情報の取扱い

リスクによっては、この11種類の同じものに当てはまるものがあります。リスクごとにやるより、対策はまとめてやってしまった方が良いです。リスクが高くないと判断したものも対策を考えずとも終わっているケースも出てきます。

手順１）対策シートの準備

リスク大のものについて対策を考えていきます。
対策は、「リスク分析シート」の「対策状況チェック」シートの横に、リスク大のものを足していきます。
それ以外対策が必要な場合は、追記しましょう。

手順２）対策を考える

次に、対策が必要なものを見つけていきます。

未：対策が必要だけどやっていない
済：対策が必要で実施済み
ー：対策不要

こんな感じで入力していきます。

手順３）対策が必要なものを見つける

「未」が多くついたものを探します。
探し方は、未の件数を行ごとに出すとわかりやすいと思います。

こんな感じですね。（サンプルなので件数が少ないですが最初は8個とか、10個とかになると思います）

手順４advance）対策を追記する

IPAの資料が完璧か？というとそうでもありません。
完璧ならこんなに世の中事故は起きません。
なので、先ほどの11種類に包括される別の対策や、それ以外の対策も思いつけば追記していきましょう。

記載されている中身の粒度が変わると優先順位付けなどもしにくくなるため、そのあたりは気を付けてください。

今回はここまでです。
次回はいよいよ最後。Todoと、期日を洗い出します。