「情報セキュリティ対策検討の流れ」の３回目です。
今回はそのうちのSTEP2の「問題の事象が発生し得る原因の洗い出し」についてです。

STEP1で洗い出した事象に対して、その事象が発生する原因を考えていきます。

問題の事象とその要因の関係は一対一とは限りません。
例えば、「顧客情報が流出する」原因は、メールによる攻撃によるものかもしれませんし、ウィルスの感染によるものかもしれません。
逆にウィルスの感染が引き起こす結果として、「顧客情報が流出する」ということだけでなく、「業務の継続ができなくなる」といったこともあるでしょう。

この原因の洗い出しには、事象が発生する場所とあわせて考えます。
現場での業務を思い浮かべることで、見落としていた事象が出てきやすくなります。STEP1で抜けていた事象があれば、適宜STEP1に戻って追加します。

STEP1、2の洗い出しの作業は、それぞれの部署や役職の人が参加することが望ましいですが、難しいようであれば出来上がった資料を元にヒアリングすることで、事象の見逃しを減らすことができます。

この事象の洗い出し結果を元に、次のSTEP3でそれぞれのリスクに対する対応策を検討していきます。

STEP2までの作業は、情報セキュリティやITの専門知識がなくてもある程度まではできると思いますので、会社内にどんなリスクが潜んでいるかを把握するためにも一度試してみていただければと思います。