「安全・安心な社会の構築」や「インターネット接続サービス安全・安心マーク」など、近年「安全」と「安心」が併記される表現をよく見かける。今更だが、「安全」は危害や損害などを受けるおそれのない状態を意味し、その対義語は「危険」である。一方、「安心」は気にかかることがなく心が落ち着いている状態を意味し、その対義語は「不安」である。つまり、「安全」と「危険」、「安心」と「不安」とは、下図のように異なる軸に乗る概念であり、「安全だけれども不安に思う状態」や、「危険だけれども安心している状態」のような、判りづらい状況も存在し得る。

情報セキュリティの分野においては、かつての派手に感染を繰り返すワーム等から、「標的型攻撃」と呼ばれる手法に主流が移るなど、自身が脅威に晒されていることがこれまで以上に判りづらい状況が生じている。筆者は様々な企業に対して情報セキュリティに関するコンサルティングを実施しているが、以下のような場面をよく見かける。

上記の判りづらい状況に代表されるように、情報セキュリティに関連する事象の多くは様々な要素が複雑に絡み合うため、予測・制御することが本質的に困難なものである。しかしながら、ある時点の状況がどの程度「危険」なのかを「見える化」する手法もある。例えば「ログ解析」は、近年SIEM（Security Information and Event Management）といった用語の定着とともに、その実現手法が確立しつつある。

やみくもに不安になったり安心するのではなく、「危険」の程度を把握した上でそれに見合った「不安」を感じ、相応の対策を施すことが大事だ。情報セキュリティリスクを「見える化」することは、適切なコストをかけて対策を施すための第一歩となる。また、どの程度「危険」な状況にあるのかが伝わらず、経営者が必要な判断を下せない状況も多く見られる。情報セキュリティリスクを「見える化」することは、情報セキュリティ対策を「係長セキュリティ」から「社長セキュリティ^参考」へと本来あるべき姿に近づけるために必要となる重要な活動であるとも考えられる。

NTTデータでは、お客様個別の「危険」の程度を適切に把握し、お客様の特色を踏まえたセキュリティ対策をご提示するコンサルティングサービスを提供している。