1. アセスメントの準備
▷ ゴール設定とスコープの明確化
- 守るべき資産(人、情報、設備、サービスなど)を明示
- アセスメント対象施設の範囲(敷地、建物、バウンダリー)を確定
- 目的:法令遵守か、顧客要請か、自主改善か、等
▷ ステークホルダーの確認
- 経営層、ファシリティ部門、IT、物理セキュリティ、契約警備など
- ヒアリング対象者、現場への同行者などを調整
2. 資産(Asset)の洗い出し
▷ 物的資産(Tangible Assets)
- 建物、設備、出入口、サーバールーム、CCTV、出入管理装置など
▷ 無形資産(Intangible Assets)
- 顧客データ、業務プロセス、ノウハウ、ブランド価値、人的リソースなど
▷ 優先度のランク付け
- 重要度(Confidentiality / Integrity / Availability)
- 被害想定時の影響度(人的被害、金銭的損害、信頼失墜)
3. 脅威(Threat)の特定
- 不審者侵入、内部不正、盗難、災害、テロ、サイバー攻撃、供給停止 など
- 何が原因でAssetが損なわれる可能性があるか?を問いかける
- 各脅威の発生可能性(Likelihood)を仮定(High / Medium / Low)
※警護ではこのThreat Assessmentが実務の核心になります。
4. 脆弱性(Vulnerability)の確認
- ドアの施錠忘れ、カードリーダーの故障、警備員の訓練不足、監視の死角、パッチ未適用など
- 施設巡回・監視カメラの配置確認・過去のインシデントレビューなどを通じて洗い出す
- ここでの重要ポイントは「既存対策の不備」
5. リスク(Risk)の分析
▷ リスクの算出
リスク = 脅威 × 脆弱性 × 資産価値
たとえば:
| 脅威 | 脆弱性 | 資産価値 | リスクレベル |
| 内部犯行 | 管理者用鍵の管理が甘い | 高 | 高 |
| 外部からの侵入 | フェンスの老朽化 | 中 | 中〜高 |
▷ リスクのマッピング
- リスクマトリックスにより視覚化(横軸:発生頻度、縦軸:影響度)
リスクマトリックスは、「リスクの重大性」を「発生可能性(Likelihood)」と「影響度(Impact)」の2軸で視覚化し、リスクレベル(優先順位)を評価・分類するための図表です。
◆ 基本構造:2軸の意味
| 低(Low) | 中(Medium) | 高(High) | |
| 影響度 | 資産への影響が小さい(復旧も容易) | 中程度の損害 | 致命的な損失(命・信用・運営停止) |
| 発生可能性 | めったに起きない | 年1回程度起こりうる | 頻繁、または兆候あり |
◆ 代表的な 3×3 リスクマトリックス(例)
| 発生可能性\影響度 | 低 | 中 | 高 |
| 高(High) | 中 | 高 | 極高 |
| 中(Medium) | 低 | 中 | 高 |
| 低(Low) | 低 | 低 | 中 |
◆ 各リスクレベルの意味と対応
| リスクレベル | 意味 | 一般的な対応方針 |
| 極高(Critical) | 組織の根幹を揺るがすレベル、直ちに対処すべき | 速やかに対策導入・改善・監査 |
| 高(High) | 営業・信頼・安全に明確なダメージ | 管理層報告・優先的に対処 |
| 中(Medium) | 改善の余地はあるが致命的ではない | 計画的に是正策を検討 |
| 低(Low) | 許容可能、または他のリスクに優先度を譲る | 継続監視または受容 |
◆ 実務での記述例(ケーススタディ)
以下はデータセンターの出入口管理に関する簡易な例です:
| リスク項目 | 発生可能性 | 影響度 | 総合評価 | 対応 |
| 警備員による無確認通過 | 高 | 高 | 極高 | 教育強化、WAD導入、監査記録 |
| カードリーダーの不具合 | 中 | 中 | 中 | 点検強化、予備機準備 |
| 内部犯行 | 低 | 高 | 中 | 権限最小化、監視強化 |
| 災害による停電 | 中 | 高 | 高 | UPS点検、BCP見直し |
◆ 注意点(現場でありがちな誤用)
- 定性的評価に依存しすぎる:
→ 担当者の主観で評価せず、可能なら「過去の事例」「統計」「現場ヒアリング」を組み合わせる。 - “影響度=金銭損失”のみにしてしまう:
→ 物理セキュリティでは、「人命」「信頼性」「規制違反リスク」も含めて考慮すべき。 - 分類だけで終わる(対策しない):
→ マトリックスは分析ツールに過ぎず、改善策とセットで初めて意味を持ちます。
◆ 拡張版:5×5 リスクマトリックス
より細かな評価を求められる場合(大規模施設・外資系企業など)には、以下のような5段階評価が導入されます。
影響度(Impact)
- ごく軽微(監視のみ)
- 軽微(部署内)
- 中程度(部門に影響)
- 大(複数部門、対外報告)
- 極大(全社規模、法的責任)
発生可能性(Likelihood)
- 非常に稀(数十年に一度)
- 稀(数年に一度)
- ありうる(年1回)
- 高頻度(月1回)
- 頻発(週1以上)
6. 対応策(Control Measure)の検討と実施
▷ リスク対応戦略
- 回避(Avoid) – リスク要因を排除(例:高リスクな業務を廃止)
- 低減(Reduce) – セキュリティ強化で影響度または発生率を下げる
- 転嫁(Transfer) – 保険加入、業務委託
- 受容(Accept) – 低リスクであれば、あえて許容する
▷ 対策例
- カメラの増設・死角の解消
- 警備員への定期訓練
- 出入管理権限の見直し
- サイバーとフィジカルの統合監視(Converged Security)
7. レビューと改善(PDCA)
▷ 文書化と報告
- リスクアセスメント報告書を作成(Executive Summaryを明記)
- 改善提案と優先順位を含める
▷ フォローアップ
- 対策の実施状況を確認(KPI活用)
- 定期的な再評価(年1回、重大変更後など)
8. 組織文化としての浸透
- トレーニングと啓発(Security Awareness)
- 経営陣の関与(Top-down)
- 現場との協働(Bottom-up)
実務に役立つチェックポイント例
- 出入口の統制状況
- ビジター管理は徹底されているか
- 設備点検は定期的かつ記録されているか
- 内部犯行対策の導入(ログ取得、二人一組作業等)
- 不審者対応の訓練履歴とマニュアル整備
まとめ
リスクアセスメントは単なる「点検」ではなく、リスクの特定 → 対策の実装 → 組織の学習を通じた、継続的なセキュリティの進化のための道標です。とくに人的リスクや、意図しない運用上の隙は、テクノロジーだけでは補えません。定期的なレビューと現場との対話を通じて、実効性あるセキュリティ文化を築くことが鍵となります。
カテゴリー
投稿一覧は、こちら