システムリスクの態様

システムリスクの発生メカニズムを説明します。
なお、分散処理、オープン・ネットワーク化、アウトソーシングに伴うシステムリスクの変化に注意が必要です。

システムリスクの発生メカニズム

システムリスクは、どのようにして生じるものでしょうか。
FISCから刊行されているセキュリティポリシー策定の手引書では、ポリシー策定時のリスク評価において、「脅威の認識」を行う必要があると説明しています。この中では、脅威を発生原因別に分類し、原因ごとに脅威とそれによる損失を洗い出す側が次のとおり、示されています。

【FISCによる脅威分類(一部省略)】

分類 脅威 損失
災害 ・ハードウェアの破壊
・ソフトウェアの破壊
・機器の買い替え費用
・機器の修復費用
・業務の遅延、停止
故障 ・ハードウェアの故障
・ソフトウェアの故障(バグ)
・通信回線の故障 等
・機器の修復費用
・業務の停止、遅延
・企業イメージの低下
過失 ・オペレーションミス
・情報資産の紛失
・業務の停止、遅延
・企業イメージの低下
・信用の失墜
故意 ・コンピュータ及び関連機器の破壊
・プログラム、データの破壊 等
・機器の修復費用
・損害賠償費用
・信用の失墜 等

 

このように脅威を洗い出すことで、リスクの所在を認識する糸口がつかめることになります。
しかし、このような脅威が、直ちに何らかの損害に結びつくわけではありません。同じ脅威にさらされていても、利用している情報技術や情報システムがおかれている環境によって、具体的な事象が発生するかどうかは異なります。例えば、地震という脅威に対して、地盤の固いところにコンピュータ・センターを設置している場合と、地盤の弱いところにコンピュータ・センターを設置している場合では、コンピュータが破壊される確率は、かなり異なってきます。
また、組織は脅威に対してあらかじめ何らかの対策を施しています。地震によってコンピュータルームに耐震性の床を使用するといったような具合です。このような対策の有無や有効性によっても、事象が発生する確率や発生した場合の影響度は異なってきます。

 

システムリスクの変化

日々、コンピュータの利便性は、増しています。より効果的また効率的にビジネスに活かしていくことを目的に、ITの利用環境は、技術面でも運営体制の面でも変化を続けています。
しかし、その一方で、コンピュータ利用形態による管理負担の増加、外部のまったく知らない第三者とネットワークでつながる可能性、アウトソーシング先の信頼性など、システムリスクが増大していることを忘れてはいけません。
システムリスクを考えるにあたっては、技術面では「「分散処理」と「ネットワークのオープン化」、運営体制面では、「アウトソーシング(外部業務委託)の進展」を注意深くとらえる必要があります。

1.分散処理

コンピュータ(端末機)の高機能化に伴い、クライアント・サーバー・システムあるいは、エンドユーザコンピューティング(EUC)といった形で、分散処理が広く行われるようになってきています。この結果、従来主流であったコンピュータ・センターに設置されたメインフレーム・コンピュータによる集中型処理に対して、各部門・各ユーザが直接情報処理に関与する分散型処理の比重が高くなっています。これに伴って、システムリスクの所在もコンピュータ・センタ中心であったものが拡散していることに注意が必要です

2.オープン・ネットワーク化

オープン・ネットワーク化については、インターネットのビジネスへの活用が最も大きな影響を与えています。
従来、金融機関では、コンピュータ・センタとATMその他の端末機を専用回線でつなぎ、外部との接続は、業界内の最小範囲にとどめるクローズド型のネットワークが一般的でしたが、最近では、インターネットなどを通じて、本部・営業店を結ぶ社内のイントラネットやローカル・エリア・ネットワークを外部と接続することや、インターネットを通じて顧客との金融取引を行うインターネット・バンキングが一般化しています。このことによって、外部の第三者からの脅威、システムリスクが高まってきています。
特に近年、偽造キャッシュカードによる預金の不正引き出しや、スパイウェアによる個人情報の漏えい、インターネット・バンキングでの不正送金など、金融機関の利用者に実害を与える犯罪が社会問題化しており、情報セキュリティ対策の高度化が喫緊の課題とされています。

3.アウトソーシングの進展

システム開発や運用において、コスト削減や高品質で専門的なサービスを受けることを目的としたアウトソーシング(外部業務委託)が、ますます広く利用される傾向にあります。極論すると、アウトソーシングを行うことによって、たとえ、自社内にシステムの専門家を抱えていない場合であっても、高度なシステムの利用が可能になります。
しかしながら、アウトソーシングした場合には、自社が期待するような水準の業務運営がなされるようにコントロールすることが困難になる危険があります。

アウトソーシングに関しては、銀行法の改正により、2006年4月から、必要に応じ、業務委託先に対する金融検査の実施が可能となりました。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す