2013年から2014年にかけて車がハッキングされるというデモンストレーションが頻繁に行われるようになり、サイバー攻撃によって人命が失われる可能性が現実的なものとして示されました。今やサイバー攻撃は社会システムの安全を脅かすリスクとして、最も考慮すべきリスクのひとつです。情報システムのセキュリティ対策を考える上では、企画、設計段階から運用にわたるシステムのライフサイクルを通じ、リスクとコストのバランスのとれたセキュリティ対策を講ずることが重要ですが、今後は、より安全、安心な情報システムの構築へ向けて、これまで別々に論じられることが多かった、セキュリティ（Security）と安全（Safety）の両面から「システム安全」を検討する必要があります。

「システム安全」を考えるにあたり参考となる国際標準規格としてISO/IECガイド51があります。この規格は「安全側面-規格への導入指針」というタイトルにある通り、元々はプラントや発電所、工業機械、自動車や家電などの製品の安全を担保するためのさまざまな安全規格を体系化したもので、1990年に初版が発行されていますが1999年の改訂を経て2014年に再度改訂されました。本規格は、情報システム、とくに重要インフラや社会的に広範囲な影響を及ぼすシステムのセキュリティを考える上でも重要な以下の指針を示しています。

図に、本規格におけるリスク低減の考え方を示します。リスクアセスメントの結果を受け、設計段階では3つのステップで保護方策を検討することを求めています。第1のステップは本質的安全設計、第2のステップは防護装置（機能安全）、第3のステップは使用上の情報提供です。この3ステップメソッドをわかりやすく説明するために、鉄道が例に用いられます。踏切事故を根本的に無くすためには、線路と道路を立体交差にすれば良い（本質的安全）のですが、コストや環境の問題から立体交差にできない場合は、踏切に遮断機や警報機といった防護装置の設置を検討します（機能安全）。これらの防護装置は設置しても踏切事故をゼロにすることはできませんが、許容可能なレベルの安全は確保されていると考えることができます。交通量が極めて少ない場合は遮断機や警報機が設置されない踏切もありますが、その場合は「踏切注意」といった看板を掲示することで通行する者への注意喚起情報を提供します。ここで重要なポイントは、リスク低減を考える際は、この3ステップの順番で考える必要があると規定していることです。最初から機能安全や情報提供に頼った対策を考えるのではなく、まず本質的にリスクを減らす設計の工夫ができるかを考えることが大切であるとしているわけです。

個人情報やクレジットカード番号の漏えい事件が後を絶ちませんが、そもそもシステム上それらの情報を長期間保持する必要があるのかということを設計時に考え、保持する必要が無い情報は保持しないと決めれば情報漏えいの心配やそのための暗号化やアクセス制限といった対策が不要となるということになります。

残念ながら、本規格で規定しているリスクアセスメントの範囲にはセキュリティで考慮すべき悪意を持った人物・組織による行為については限定的な適用に留まっていることから、今後はセキュリティ専門家と安全管理の専門家の双方の知見を持ち寄って、できる限りサイバー攻撃のリスクを低減するような情報システムの安全規格の検討が期待されます。