情報セキュリティ(27) 詳細リスク分析の実施方法③
手順3は、情報セキュリティ対策の決定です。リスクの大きい情報資産に対して、対策を行うことが必要となります。対策は、下記の4つの方向性が考えられます。
①リスクを低減する
リスクを低減するための対策をとります。自社でできる情報セキュリティ対策を行うことで、脆弱性を下げて、サイバー攻撃に対応できるようにします。
②リスクを保有する
リスク値が0の場合は、何もせずに、リスクを保有するのも一つの手段です。たとえ攻撃されても問題ない場合、たとえば公知の事実などは、対策を行う必要がありません。
③リスクを回避する
リスクが存在する情報そのものを持たないようにします。例えば個人情報を保有しなければ、個人情報流出リスクはありません。むやみに個人情報を受け取らず、個人情報が抹消された情報のみを入手する、などが考えられます。
④リスクを移転する
保険などをかけて、損害賠償が発生しても金銭的な損害が発生しないようにします。
ほとんどのケースでは、情報資産を保有し、対策をとる必要がありますが、リスクをとらないように適切に判断するという経営の判断が重要となります。