「安全」と「安心」
「安全・安心な社会の構築」や「インターネット接続サービス安全・安心マーク」など、近年「安全」と「安心」が併記される表現をよく見かける。今更だが、「安全」は危害や損害などを受けるおそれのない状態を意味し、その対義語は「危険」である。一方、「安心」は気にかかることがなく心が落ち着いている状態を意味し、その対義語は「不安」である。つまり、「安全」と「危険」、「安心」と「不安」とは、下図のように異なる軸に乗る概念であり、「安全だけれども不安に思う状態」や、「危険だけれども安心している状態」のような、判りづらい状況も存在し得る。
脅威が見えづらくなっている
情報セキュリティの分野においては、かつての派手に感染を繰り返すワーム等から、「標的型攻撃」と呼ばれる手法に主流が移るなど、自身が脅威に晒されていることがこれまで以上に判りづらい状況が生じている。筆者は様々な企業に対して情報セキュリティに関するコンサルティングを実施しているが、以下のような場面をよく見かける。
- 自らがどの程度「危険」な状態にあるのかをきちんと把握することなく、何らかのセキュリティ対策が検討されている状況
- どの程度「危険」であるかを評価することが難しい事を理由に、必要なセキュリティ対策を施そうとしない状況
- 似たような業態の企業における対策をそのまま真似している状況
リスクを「見える化」する手法
上記の判りづらい状況に代表されるように、情報セキュリティに関連する事象の多くは様々な要素が複雑に絡み合うため、予測・制御することが本質的に困難なものである。しかしながら、ある時点の状況がどの程度「危険」なのかを「見える化」する手法もある。例えば「ログ解析」は、近年SIEM(Security Information and Event Management)といった用語の定着とともに、その実現手法が確立しつつある。
正しく不安になることの大切さ
やみくもに不安になったり安心するのではなく、「危険」の程度を把握した上でそれに見合った「不安」を感じ、相応の対策を施すことが大事だ。情報セキュリティリスクを「見える化」することは、適切なコストをかけて対策を施すための第一歩となる。また、どの程度「危険」な状況にあるのかが伝わらず、経営者が必要な判断を下せない状況も多く見られる。情報セキュリティリスクを「見える化」することは、情報セキュリティ対策を「係長セキュリティ」から「社長セキュリティ参考」へと本来あるべき姿に近づけるために必要となる重要な活動であるとも考えられる。
NTTデータでは、お客様個別の「危険」の程度を適切に把握し、お客様の特色を踏まえたセキュリティ対策をご提示するコンサルティングサービスを提供している。
参考文献
- 中谷内 一也「リスクのモノサシ―安全・安心生活はありうるか」(NHKブックス)
- 林 紘一郎、田川 義博、淺井 達雄「セキュリティ経営:ポスト3.11の復元力」(勁草書房)