「リスクベースアプローチ」とは？ 適用例で解説

　リスクベースのアプローチとは、どういうことだろうか。それは、安全対策基準の各項目について適応するかしないかを、利用している各システムごとに判断し、決定するという方法だ。事業規模や事業内容、関連会社の事業環境、会社や事業所の所在地など、さまざまな要因によってリスクの高さは異なってくる。よって、すべての項目に対して一律で準拠するのではなく、システムごとのリスクをあらかじめ算出し、重要度の高いシステムを優先して適用を行っていくのが、最も合理的で、効率的なアプローチなのである。　

　このアプローチ方法は、ERP（エンタープライズ・リソース・プラン二ング）とも深く関わってくる。現在、金融機関を含む多くの企業は、経営資源の有効活用の観点からERPを導入しており、そのERPはサプライチェーン管理系システムや顧客管理系システム、電子商取引系システム、事務／総務系システム、人事系システム、契約ベンダー系システムなど、領域の異なる他システムと連携しているのが一般的だ。

　これらのシステムに、リスクベースアプローチを用いてみよう。たとえば、事務／総務系システムや人事系システム、そして監査統制管理系のシステムなどにおいては、FISC安全対策基準の大項目1つ目に該当する「（1）方針・計画、（2）組織体制、（3）管理状況の評価、（4）人材の教育」などといった準拠項目が最も関連性が高く、優先して対応していくべき項目となる。

　一方、販売管理や会計管理に関連するシステムであれば、安全対策基準の大項目5つ目に該当する「（1）取引の管理、（2）出入力の管理、（3）帳簿の管理、（4）顧客データ保護」といった項目が優先となる。

　つまり、リスクベースアプローチでは、各システム内に潜在するリスクをベースに評価を行い、優先度の高い項目から準拠を目指していくことが求められるのである。

「リスクベースアプローチ」と「基礎基準」への対応で進める安全対策

　ただし、そのシステムが担う領域に関係なく準拠しなければならない共通の項目も存在する。それは、自社や部署で利用しているシステムの中で脆弱性がある部分、もしくはひとたび何かしらの障害が起こったり、攻撃を受けたりした場合、組織に最も深刻な影響を及ぼすシステムにおける安全対策基準だ。主に下図のようなリスクが挙げられる。

　上図は想定されるリスクの一部に過ぎないが、この中で特に両端4つの項目「顧客データ漏洩のリスク」「緊急事態発生時のリスク」「システム不正使用のリスク」「組織内システム運用面での停滞・障害リスク」は、基礎対策が必要なものとして、FISC安全基準ですべてのシステムに準拠が求められている。

　ここまでの話を整理すると、FISC安全基準では下図のように「基礎基準」と「リスクベースアプローチ」による安全対策を求めているということになる。

　基礎基準4項目の中で、特にリスク対策の優先度が高い項目は、「顧客データ漏洩」と「システム不正使用」だという。これら2項目におけるリスク対策には、「特権ID管理」が有効だと日笠氏は説明する。次ページで解説していこう。