オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

【リスク】「幅・深さ・影響」の定義がむずかしい?小学生にもわかるようにリスクを「うんち」で説明をするならば・・・

»

リスクについてのお題が出ていたので考えてみます。

思うに「リスクの定義」に違いがあると、「幅・深さ・影響...」などが変わってしまいます。そこが難しさに拍車をかけているように感じています。

もちろん、詳細に洗い出す必要はありますが、それは専門家がすればいいことです。ビジネスマンはリスクマネジメントを知らなければならないと思っていますが、むずかしい用語や定義や公式を出されても、一気に引いてしまいます。これ情報セキュリティでもよくあることなのですが(笑)

社内全体で定義を共有するならば、「共通言語」と「小学生にもわかるような」簡単で基本的なことが最も必要と考えています。いきなりむずかしいことを言われても、わかりません。急に10文字以上の英数記号が入ったパスワードを作りなさい!と言われているようなものです。パスワードも作り方さえ覚えれば無限に活用できます。 パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!(情報セキュリティ標語:パスワード編)

基本をしっかりと知ることで、はじめて応用が出来ると思っています。例えば、速さ×時間=距離って公式がありますよね。私はよく覚えられないので、「はじき」と覚えています。速さを求める場合、2×5=10と置き換えて2を出すには10を5で割ればいい。だから距離を時間で割るとなります。そんなもん3種類くらい覚えられないのか?と言われそうですが。。。三歩歩くと忘れてしまうのです(自爆) そういえば干支も酉年だった。

セミナー資料などでよく利用させてもらうわかりやすい図から

http://www.ipa.go.jp/security/manager/protect/pdca/img/risk_img01.gif

出典:情報セキュリティマネジメントとPDCAサイクル(IPA)

(1) リスクの低減
「リスクの低減」とは、脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げることです。ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、従業員に対する情報セキュリティ教育を実施するなどがあります。

(2) リスクの保有
「リスク保有」とは、そのリスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容することです。「許容できるリスクのレベル」を超えるものの、現状において実施すべきセキュリティ対策が見当たらない場合や、コスト(人、物、金等)に見合ったリスク対応の効果が得られない場合等にも、リスクを受容します。

(3) リスクの回避
「リスク回避」とは、脅威発生の要因を停止あるいは全く別の方法に変更することにより、リスクが発生する可能性を取り去ることです。例えば、「インターネットからの不正侵入」という脅威に対し、外部との接続を断ち、Web上での公開を停止してしまうような場合や、水害などの被害が頻繁にあり、リスクが高いため、そのリスクの低い安全な場所と思われる場所に移転する、などが該当します。リスクを保有することによって得られる利益に対して、保有することによるリスクの方が極端に大きな場合に有効です。

(4) リスクの移転
「リスク移転」とは、リスクを他社などに移すことです。例えば、リスクが顕在化したときに備えリスク保険などで損失を充当したり、社内の情報システムの運用を他社に委託し、契約などにより不正侵入やウイルス感染の被害に対して損害賠償などの形で移転するなどが該当します。しかし、リスクがすべて移転できるとは限りません。多くの場合、金銭的なリスクなど、リスクの一部のみが移転できます。

IPAのリスクマップです。十字のマトリックスにする場合もあります。 超簡単にするとこうなりますが、場合によっては回避に近い低減を保有することがあったりします。これはケースバイケースで変わってきます。図にすることでイメージとして理解出来るのでわかりやすいのですが、一般的に言えばここにある4つの用語にも馴染みはありません。しかしこれ以上にかみ砕いた説明は出来ないと思います。

 http://www.atmarkit.co.jp/fbiz/cinvest/serial/bpm/07/image02.gif

出典:COSO ERMフレームワーク(@IT情報マネジメント用語事典)

米国のトレッドウェイ委員会組織委員会(COSO)が公表したエンタープライズ・リスクマネジメントのためのフレームワーク。従来のCOSOフレームワーク(内部統制フレームワーク)を補完的に拡張し、リスクの観点からマネジメントと内部統制を統合する考え方を示している。

確かに図に落とせば明確になってきます。この図を文字で書いたら読む気はしません。最もマズイと思うのは、図で見て何となくわかったような気になることと思います。専門家以外は、こんな図を見ても何となく・・・わかるのか?と思います。と言っても図で表現することで位置関係がハッキリしてきます。

 出典:リスクを知る―「会社にとって重要なリスク」とは(ITpro)

多摩大の大学院でお世話になった神林先生の会社のビジネスリスクモデルです。この84項目を縦列で分かれている「外部環境・業務プロセス・意志決定情報」の大枠から洗い出します。このチェック項目は互いに横断するように複雑に絡み合ってくることがあります。おそらくビジネスにおけるリスク項目として最も実用的と思います。

この項目をほぼ埋め尽くすことが出来れば、相当新しい発見ができるほどの思考補助ツールとして有効と思います。中々出し切ること難ですが、視点切替には必要なことと考えます。

と、リスクについて真面目に書きました。それでも、一般的には「変なとことが痒くなる」ような・・・ただ、こんなこともあるのだ!と知ることが大切と思います。

でも・・・これでは小学生にはわかりません。

うんち・おならで例える原発解説~「おなかがいたくなった原発くん」

例えば、こんなのはわかりやすい事例と思います。原発のことはよくわかりませんが、こんな説明ならば概要くらいはわかります。説明と実態の違いについては、今回のツッコミどころではないので。。。

セミナーなどでリスクの説明をする機会が多くあります。

情報漏洩マップで言えば、

情報漏洩(内外の図)

以前に書いたブログより:コントロールに見る情報漏洩の問題

情報が漏れる前の青い部分はコントロール可能な部分、漏れてしまった後の赤い部分はコントロールできません。超簡単に言うと「だから手の内にある間に対策しましょう!」となります。

ここまでが通常の説明ですが、これでも小学生にはわかりません。

相当に前置きが長くなりましたが、ここからが裏メニューです。なぜにこんなに前説をするのかは、この先を読んで頂ければご理解頂けると思います。前説なく冒頭から「これだけを書き始める」と、こいつ大丈夫か?と(自爆)

この青い部分がリスク領域、赤い部分がクライシス領域と定義しています。起きる前と起きた後です。小学生には情報漏洩では説明しません。

うんちが出る前が青、出ちゃった後が赤です。これ下痢った時の非常時と考えて下さい。

例えば、冷たいものを多く取りすぎるとお腹が痛くなるよ。だからそんなに食べない(飲まない)ようにしよう!ってことです。

リスクって想定される危機を事前に回避すること。正常なうんちでなくなってしまうケースを考えることになります。

  • 食すものに気をつける
  • 体調の管理をする
  • お腹を冷やさない

などになります。誰しも下痢って相当辛い思いをしているものです。だからこそ、身近な事例で「何をどのように」事前に気をつける、想定するのか?ってことです。

最悪なケースを体験しているからこそ、事前の想定が容易になってくるのです。

それでも事前の想定されることに相当気を使っていてもなお、突然に最悪なケースは訪れるものです(経験談)

そしてクライシスが訪れるのです。ここでの攻防戦は、肛門括約筋がギリギリの部分、もう頼るしかありません。しかし…限界もあるのです。

限界を超えてしまう直前にすることは、最後のあがきではありません。クライシスを決心して、その後どうするのかを瞬時に考えることです。

誰しもクライシスは避けたいものですが、ここまで頑張っても無理ならば...尽きてしまったら...それでも終わりません。ここからがはじまりです。

  • 出ちゃったものをどうするか?
  • 次に訪れる問題はなんだろうか?
  • この状況の中で、更なる被害を最小限にする方法はあるのか?

などど、事後のことを考えなくてはなりません。考えましょうと言わなくとも、本能的にするものです。

わかりやすい下ネタ事例が、身近で何よりも経験もある分だけ、置き換えて考えやすくなってきます。例えばの事例を100個並べても身近に感じなければ、他人事になってしまい応用もききません。自らが体験したことが最もわかりやすいのです。

・・・もちろん冒頭で書いたような専門的で詳細な分析も必要ですが、専門家以外の人たちにはちんぷんかんぷんです。日常の身近な事例に置き換えることで、イメージも対応策も具体的に見えてきます。

やはり前説なく書くのは無理ですよね(笑)

Comment(0)