リスク値3で対策が必要な場合、すでに管理策が講じられていても対応計画は必要ですか?
PMSリスク分析対策計画表のリスク対応計画につきまして脅威ランクが3、脆弱性ランクが1の場合、リスク値3でリスク対策とリスク対応計画が必要となりますが、脆弱性が「適切な管理策が講じられていて安全である」状況なのであらためてリスク対策とリスク対応計画は必要でしょうか。
結論から申し上げますと、「新たな追加対策」は不要ですが、現在の安全な状態を維持するための「継続的な運用」を計画として明記することを推奨いたします。
1. なぜリスク値が「3」になるのか(リスクの性質)
リスク値は「脅威(発生の可能性)」×「脆弱性(守りの弱さ)」で算出されます。
今回のように、脅威が「3(高い)」場合、たとえ脆弱性を「1(最小限)」まで抑え込んでいても、計算上はリスク値が「3」として残ります。これは、「鉄壁の守りを固めていても、外敵の脅威自体は消えない」というセキュリティ上の事実を反映しているためです。
2. 記入方法のアドバイス
リスク値が受容レベルを超えている以上、審査上は「何らかの対応」を記述する必要があります。ただし、すでに対策が完了している場合は、以下のように「現状維持」を目的とした記載で問題ありません。
- リスク対策:
現行の管理策により、脆弱性が最小限に抑えられていることを確認した。 - リスク対応計画:
新たな対策は不要。現状の管理策を継続し、定期的な点検等を通じて安全な状態を維持する。
基本、脆弱性ランクが1であれば、一度対策を取っている場合、脅威ランク及び脆弱性ランクに変化がなければ、同様の管理策を継続していくといった考え方となります。
よって、新たな管理策ではなく、同様の管理策を継続していくといった考え方となります。
3. リスク値の基準設定について
リスク値の算定基準や受容レベルのしきい値は、組織の事情に合わせて独自に決定できるものです。
もし、現在の基準で「対策済みの項目」が大量に対応が必要なレベルとして抽出され、運用が煩雑になるようであれば、受容レベルの数値を再検討(例:3までは許容するなど)することも一つの方法です。
リスク値に関しては、組織の諸事情に合わせた決定によるため、御社の諸事情にあわせて決めてください。
