2009/06/22

リスクは感じるものでなく考えるもの/岩本 元

  6月末から7月初に掛けて、京都で情報セキュリティに関する国際会議(FI
RSTカンファレンス)が開催されます。毎年開催されるこの会議には世界各国
の情報セキュリティの専門家や専門組織が参加しますが、日本で開催される今回
は、山口氏(内閣官房情報セキュリティセンター情報セキュリティ補佐官)やブ
ルース・シュナイア氏の基調講演があります。

(2009年FIRSTカンファレンスの開催案内)
http://www.jpcert.or.jp/event/first-conference2009.html

 ブルース・シュナイア氏は、コンピュータセキュリティの世界的権威で米国国
防総省などを経て、現在はブリティッシュテレコムの最高技術責任者です。氏の
著作「セキュリティはなぜやぶられたのか」は、難しい技術論ではなく、情報セ
キュリティの対策が失敗したり、間違った対策に多大な費用を掛けている多くの
事例を紹介し、セキュリティ対策とコスト・利便性とのトレードオフをしっかり
把握することを強調しています。今回は、この著作から引用してご紹介します。

 対策とコストのトレードオフを把握するには、リスクの大きさを適切に評価す
る必要があります。一般に、リスクは、その発生確率と被害(影響)の大きさの
2つで評価します。発生確率が大きく、被害も大きいリスクには最優先で(コス
トを掛けた)対策を取る必要があります。次に、発生確率が比較的小さくても、
1件の被害が大きいリスクの対策(保険等)を検討します。発生確率が大きいが
1件の被害の小さいリスクについては、緊急性を要しないため、徐々に発生確率
を下げていく対策を取ります。残った発生確率と1件の被害が共に小さいリスク
は、無視する(リスクを許容する)ことがあります。
 しかし、実際にはリスクが感覚に基づいて評価され、誤った対策が取られるこ
とが多いと氏は述べています。本書では、以下の5つが例として示されています。

◇めったにない刺激的なリスクは大げさに考え、よくあるリスクは軽視すること
 が多い。
 米国では、地震で死ぬ人数より風呂場で転んで死ぬ人数の方が多いそうです。
しかし、地震の方が刺激的なため、大きなリスクとして捉えられがちです。企業
内でも、普段から起こっている問題は放置されがちです。

◇自分の日常と異なるリスクは正しく評価できないことが多い。
 国内でのひったくり等の盗難リスクより、海外旅行中の盗難リスクを心配する
傾向があります。もっとも、旅行中は盗難からの回復が面倒、すなわち影響が大
きいため、貴重品を分けて持つといった対策が必要です。

◇顔が見えるリスクは匿名性が高いリスクよりも強く感じられる。
 大勢の死亡事故より、少数の死亡事故が当事者の人生や家族の話などと共に繰
り返し報道されると、リスクとして大きく感じられます。オサマ・ビン・ラディ
ンの存在が、テロの脅威を身近に感じさせているそうです。

◇とろうと思うリスクは過小評価し、自分の意思でどうにかできないリスクを過
 大評価する傾向がある。
 1年間の自動車事故による死亡者数は、飛行機事故による死亡者数よりもはる
かに多いですが、自分が運転する自動車の場合、自分で事故を回避できる(と思
う)ため、リスクを小さいものと考えてしまいます。逆に、他人が操縦する飛行
機の事故には過剰反応します。もちろん、一度の事故による死亡者数は飛行機事
故の方が多いため、充分な対策は必要です。

◇話題にのぼり、報道されつづけるリスクを過大評価する傾向がある。
 エイズウィルスによる死亡者数は、世界で毎年200万人以上にのぼり、国内
の感染者は毎年千人以上増加しています。しかし、報道され続けた、新型インフ
ルエンザの方が大きなリスクとして捉えられています。通常のインフルエンザに
よる国内の死亡者数は年間1万人以上ですが、あまり報道されないため(会社を
休むという個人のリスク以上の)リスクとして認識されていません。

 立場によってリスクの評価結果が異なることにも注意が必要です。政府・官庁、
企業、個人は、各々異なる目標を持って活動するため(企業には存続が最重要の
目標でしょう)、リスク発生時の被害が違うものとなり、対策の優先度や対策に
掛けるコストが変わってきます。例えば、官僚は事なかれ主義に陥りがちで、国
際線の航空機事故による遺族への補償額は国際協定で制限されているため、飛行
機製造会社は安全対策にコストを掛けたがらないそうです。同じ企業の中でも、
立場が異なると判断(=言うこと)が異なるでしょう。

 不況、CSR、情報セキュリティ、J-SOX、新型インフルエンザなど、企
業の周辺には数多くのリスクがあります。これらのリスクは、感覚的に捉えるの
でなく、統計などの客観的情報を入手し、それを用いて自らのリスクを正しく評
価することが求められます。

(参考文献)
ブルース・シュナイア著、セキュリティはなぜやぶられたのか、日経BP社、2007年

■執筆者プロフィール

 岩本 元(いわもと はじめ)

 ITコーディネーター、技術士(情報工学部門、総合技術監理部門)
   &情報処理技術者(システム監査、プロジェクトマネージャ他)
 企業における情報セキュリティ対策・BPR・IT教育・ネットワーク構築の
 ご支援

カテゴリ: 2009年