「リスクとは何?」正式に答えられますか?
★リスクについてのITコンサルタント的考え方について教わりました。勉強材料にどうぞ!
【朝メール】20090212より__
==ほぼ毎朝エッセー===
□□リスクの考え方
一昨日、外部機関によるCACHATTO勉強会コースのレビューを行ないました。午前中に「セールスコース」、午後「コンサルテーションコース」が講義されました。
「セールスコース」は、CACHATTOの営業ができるようになる人を教育することを目的としています。「コンサルテーションコース」は、技術が分かる人がCACHATTOを売る前までの導入コンサルができることを目的としています。
従来は自分たちで口八丁手八丁でお客様やパートナー企業の人たちにCACHATTOをひたすら説明しまくってきたわけですが、専門の講師の人が滑舌(かつぜつ)良く理路整然と説明をしてくれる様はちょっと不思議な感覚がしました。
さて、そこでリスクについての概念を説明してもらいました。今朝はそれについて記載します。
「リスクとは何でしょう?」
セールスコースの最初の方に問われました。よく考えてみたのですが、あまりいい言葉が思い当たりません。普段から「リスク」については、あまり意味を定義せずに使っていたということがわかります。
[リスク] = [脅威] × [ぜい弱性]
なのだそうです。例えば情報漏えいリスクは次のような式になるそうです。
[情報漏えいリスク] = [PC盗難] × [データが見えてしまう]
そこで、管理策が施されます。それは、次のようなことになります。
・データを暗号化する
・PCにロックをかける
・情報を持たせない
・PC持ち出しを禁止する
その際に、どういった考え方でこれらの管理策を実施するのかということがリスク管理の基本になるのだというのです。
蓋然性(がいぜんせい)と影響度というファクターを元に対策を取ります。蓋然性とは頻度のことだそうです。
1)蓋然性 中 × 影響度 中:適度に発生し、問題もそれなりにあること
2)蓋然性 高 × 影響度 高:よく発生し、問題も大きいこと
3)蓋然性 低 × 影響度 高:あまり発生しないが、大きな問題をおこすこと
4)蓋然性 高 × 影響度 低:よく発生するが、問題は小さいこと
5)蓋然性 低 × 影響度 低:あまり発生しないし、問題も小さいこと
それぞれに取る管理策に名前がついています。
1)蓋然性 中 × 影響度 中:適度に発生し、問題もそれなりにあること
→「低減させる」のが管理策になります。
2)蓋然性 高 × 影響度 高:よく発生し、問題も大きいこと
→「回避する」のが管理策になります。
3)蓋然性 低 × 影響度 高:あまり発生しないが、大きな問題をおこすこと
→「移転する」のが管理策になります。
4)蓋然性 高 × 影響度 低:よく発生するが、問題は小さいこと
→ これは1)の類似形であり、「低減させる」のが管理策になります。
5)蓋然性 低 × 影響度 低:あまり発生しないし、問題も小さいこと
→「受容する」のが管理策になります。
特に5)の「受容する」は失笑してしまいましたが、なかなか整理が付きます。
せっかく雛形を教えてもらったのでリモートアクセスについて考えてみます。
[不正アクセスリスク] = [入り口を破られる] × [何にでもアクセスできる]
CACHATTOのいいところは、たとえ [入り口を破られたとしても、その先にアクセスできるものが大いに制限されているというところにあるそうです。管理策としては「アクセスが制限されている」ということですね。
そして、さらに自社で認証システムを持つVPNなどと比較すると、「不正アクセスリスク」が蓋然性が低く影響度が高い、上記のケース3)にあたるので管理策としては「移転する」、つまりアウトソースするのに適切な領域にあるということです。
ちょっと難しかったですか?リスク管理の観点からも、時流に乗った商品だといってくれていました。