過去のコラムは、https://www.itc-kyoto.jp/category/column-old/に移行しています
入会案内
お問い合わせ
入会案内

リスクは感じるものでなく考えるもの/岩本 元

 6月末から7月初に掛けて、京都で情報セキュリティに関する国際会議(FIRSTカンファレンス)が開催されます。毎年開催されるこの会議には世界各国の情報セキュリティの専門家や専門組織が参加しますが、日本で開催される今回は、山口氏(内閣官房情報セキュリティセンター情報セキュリティ補佐官)やブルース・シュナイア氏の基調講演があります。

(2009年FIRSTカンファレンスの開催案内)
http://www.jpcert.or.jp/event/first-conference2009.html

 ブルース・シュナイア氏は、コンピュータセキュリティの世界的権威で米国国防総省などを経て、現在はブリティッシュテレコムの最高技術責任者です。氏の著作「セキュリティはなぜやぶられたのか」は、難しい技術論ではなく、情報セキュリティの対策が失敗したり、間違った対策に多大な費用を掛けている多くの事例を紹介し、セキュリティ対策とコスト・利便性とのトレードオフをしっかり把握することを強調しています。今回は、この著作から引用してご紹介します。

 対策とコストのトレードオフを把握するには、リスクの大きさを適切に評価する必要があります。一般に、リスクは、その発生確率と被害(影響)の大きさの2つで評価します。発生確率が大きく、被害も大きいリスクには最優先で(コストを掛けた)対策を取る必要があります。次に、発生確率が比較的小さくても、1件の被害が大きいリスクの対策(保険等)を検討します。発生確率が大きいが1件の被害の小さいリスクについては、緊急性を要しないため、徐々に発生確率を下げていく対策を取ります。残った発生確率と1件の被害が共に小さいリスクは、無視する(リスクを許容する)ことがあります。
 しかし、実際にはリスクが感覚に基づいて評価され、誤った対策が取られることが多いと氏は述べています。本書では、以下の5つが例として示されています。

◇めったにない刺激的なリスクは大げさに考え、よくあるリスクは軽視することが多い。
 米国では、地震で死ぬ人数より風呂場で転んで死ぬ人数の方が多いそうです。
しかし、地震の方が刺激的なため、大きなリスクとして捉えられがちです。企業内でも、普段から起こっている問題は放置されがちです。

◇自分の日常と異なるリスクは正しく評価できないことが多い。
 国内でのひったくり等の盗難リスクより、海外旅行中の盗難リスクを心配する傾向があります。もっとも、旅行中は盗難からの回復が面倒、すなわち影響が大きいため、貴重品を分けて持つといった対策が必要です。

◇顔が見えるリスクは匿名性が高いリスクよりも強く感じられる。
 大勢の死亡事故より、少数の死亡事故が当事者の人生や家族の話などと共に繰り返し報道されると、リスクとして大きく感じられます。オサマ・ビン・ラディンの存在が、テロの脅威を身近に感じさせているそうです。

◇とろうと思うリスクは過小評価し、自分の意思でどうにかできないリスクを過大評価する傾向がある。
 1年間の自動車事故による死亡者数は、飛行機事故による死亡者数よりもはるかに多いですが、自分が運転する自動車の場合、自分で事故を回避できる(と思う)ため、リスクを小さいものと考えてしまいます。逆に、他人が操縦する飛行機の事故には過剰反応します。もちろん、一度の事故による死亡者数は飛行機事故の方が多いため、充分な対策は必要です。

◇話題にのぼり、報道されつづけるリスクを過大評価する傾向がある。
 エイズウィルスによる死亡者数は、世界で毎年200万人以上にのぼり、国内の感染者は毎年千人以上増加しています。しかし、報道され続けた、新型インフルエンザの方が大きなリスクとして捉えられています。通常のインフルエンザによる国内の死亡者数は年間1万人以上ですが、あまり報道されないため(会社を休むという個人のリスク以上の)リスクとして認識されていません。

 立場によってリスクの評価結果が異なることにも注意が必要です。政府・官庁、企業、個人は、各々異なる目標を持って活動するため(企業には存続が最重要の目標でしょう)、リスク発生時の被害が違うものとなり、対策の優先度や対策に掛けるコストが変わってきます。例えば、官僚は事なかれ主義に陥りがちで、国際線の航空機事故による遺族への補償額は国際協定で制限されているため、飛行機製造会社は安全対策にコストを掛けたがらないそうです。同じ企業の中でも、立場が異なると判断(=言うこと)が異なるでしょう。

 不況、CSR、情報セキュリティ、J-SOX、新型インフルエンザなど、企業の周辺には数多くのリスクがあります。これらのリスクは、感覚的に捉えるのでなく、統計などの客観的情報を入手し、それを用いて自らのリスクを正しく評価することが求められます。

(参考文献)
ブルース・シュナイア著、セキュリティはなぜやぶられたのか、日経BP社、2007年

■執筆者プロフィール

 岩本 元(いわもと はじめ)

 ITコーディネーター、技術士(情報工学部門、総合技術監理部門)
   &情報処理技術者(システム監査、プロジェクトマネージャ他)
 企業における情報セキュリティ対策・BPR・IT教育・ネットワーク構築のご支援

研究会
介護ソリューション研究会、WEB/SNS研究会を行っています
地域経済社会の発展に寄与すべく、組織を挙げて各種の事業を実施します。

経営課題を明確にした上で、ICTの活⽤を含めて総合的に経営課題を解決したい、既存のシステム活⽤がうまくいっていない、IT⼈材の育成をしたい等、IT経営に関することでお困りの⽅は、お気軽にお問合せ・ご相談ください。

会員情報
賛助会員情報
メールマガジン登録
お問い合わせ
itc_under_icon01
特定非営利活動法人ITコーディネータ京都

〒600-8813
京都市下京区中堂寺南町134番地
京都リサーチパークASTEM棟8階 8F06

© IT Coordinator Kyoto. All Rights Reserved.