リスクとは忌み嫌うべきものなのか--
米国を端に発した今回の世界的な株式市場の暴落は日本の個人投資家へも大きな影響を与えている。保有する株式に含み損が出ているため塩漬け状態にせざるを得ないという人も多いだろう。しかしこの状況を逆から見ると株価に割安感があるとも言え、長い目で見ると株価も元に戻るだろうから、急落している今は「買い」の状況かもしれないのだ。しかし、今、株を買おうという個人投資家は少ないに違いない。それは株式はリスクがあると改めて感じているからだろう。つまりリスクを嫌っているのである。
リスクというものは面白いもので、人はリスクを好む場合もある。宝くじがその例で、期待値を考えると明らかに損をするのに我々は宝くじを買う。これは、リスクはあっても一発当てたときの効用が大きいからだそうだ。また、個人が感じるリスクの大きさは主観的なバイアスがかかり、たとえば、よく知らないものや、身近な人が被害を受ける場合はリスクを大きく感じるとも言われている。
リスクを「事故の発生確率×事故の影響の大きさ」と定義することがあるが、この発生確率は我々の持つ感覚とずれている場合がある。火事よりも入浴中の水死による死亡者数のほうが多いことをご存知だろうか。落雷より飛行機事故のほうが死亡者数が少ないことも意外な感じがする。このようにリスクというものは奥が深い。
ITリスクもしょせんは"人"に依存する
ここでITシステムにおけるリスクを考えてみる。近年話題になり続けているのが個人情報漏洩事故のリスクである。この問題に対してはこれまでは情報セキュリティの問題としてとらえられ、ハード/ソフト/運用面からの対策がなされてきた。しかし個人情報漏洩事故が現在も起き続けているのはなぜだろうか。
帯に書かれた「100%安全はありえない」を受け入れることからITリスク対策は始まる |
そもそも情報セキュリティとは、組織の外部に悪い人がいて、その人の悪だくみを何とかして防ごうというのが目的であった。つまりネットワーク越しにサイバー攻撃を受けたり、コンピュータウイルスに感染したりといった脅威に対して、ファイアウォールなどの機器を導入したり、ウイルス対策ソフトを導入したりといった対応をしてきた。
次に、組織の内部に悪い人がいて機密情報を外へ持ち出す事件が注目された。そこでノートPCやUSBメモリの持ち出しを制限したり、電子メールの添付ファイルを暗号化したりといった対策が取られた。しかしこれでも情報漏洩事故はなくなっていない。
その原因のひとつは、従業員が書類を外に持ち出して酒を飲んだ挙句、鞄を紛失してしまったり、メールの送信先をうっかり間違えてしまうといったヒューマンエラーへの対策が不十分だからではないだろうか。今まさに情報セキュリティはヒューマンエラーを取り込むべき時期に来ているのだ。
今回紹介するセキュリティ技術研究の第一人者である東京電機大学の佐々木良一教授が著した『ITリスクの考え方』では、これからは情報セキュリティの枠を拡げてITリスクという概念で捉えるべきと論じている。たとえば最近頻発している航空会社や金融機関のシステムの故障は、プログラムのバグやパラメータの設定ミスといったことが原因であったが、これらのシステムの故障が社会に与える影響の大きさを鑑みると、偶発的故障やヒューマンエラーも情報セキュリティと一体として取り組むべきであるという。
また、組織でセキュリティ対策を行うために従業員をさまざまな観点で監視することがあるが、これが従業員のプライバシーを侵害する恐れがあるため、プライバシーという観点でもセキュリティ対策を評価しなければいけないという。
このように従来の情報セキュリティにバグ、ヒューマンエラー、プライバシー、さらには信頼性といった要素を含めた概念として「ITリスク」が提唱されている。ITリスクに特徴的なことは上でも挙げたように、まずはリスクを定量的に捉えるということである。また、リスクへの対応が、新たな別のリスクをもたらす可能性を考えるということである。さらには、ITシステムには関与者が多いため関与者間の合意を取った対策をとる必要もある。
本書では、このようなITリスクの考え方の解説と、「ITリスク学」という学問体系にまとめる構想、さらには著者が取り組んでいる関係者間のリスクコミュニケーションツールである多重リスクコミュニケータの紹介がなされている。
最近、内部統制の次はエンタープライズ・リスク・マネジメント(ERM)だと言われているが、ITシステムに興味のある人にとってはITリスク・マネジメントから勉強を始めてみるのがよいかもしれない。また情報セキュリティに興味のある人にもおすすめだ。これからはITリスクの時代だという、「時代の風」を本書で感じ取ってほしい。
ITリスクの考え方
佐々木良一 著
岩波書店 発行
2008年8月20日 発売
新書判/212ページ
ISBN978-4-00-431147-8
定価: 777円 (本体: 740円)
岩波新書(新赤版)1147