ITリスクの考え方 の商品レビュー

昨今，セキュリティセキュリティといわれることが多くなったように思う． 大学院での専攻が情報工学ということもあり，”ＩＴリスク”という言葉にひかれて読んでみた． そもそもセキュリティとは，リスクとは何なのか？というところから述べているので，今まで漠然ととらえていた概念を再構築する手助けになった．リスクに対する対策をどのように優先順位を付けて実行していくかなどの考え方は，ふつうの仕事にも役に立つ気がした． 本の中でいくつか重複する内容がところどころ書かれており，多少冗長だと感じた部分があった．

シンポジウムでデジタル・フォレンジック研究会会長　佐々木良一さんの講演を聞き、研究者としてのアカデミックな視点と情熱に感銘を受けたので、その著書を読んでみた。 佐々木氏はこの著書で社会全体のITシステムへの依存の増大によりITシステムの安全が重要になってきたという昨今の状況を踏まえ、今後ますます増大が予想されるITリスク問題に対してアプローチ方法を体系化し「ITリスク学」とでもいうべきものを確立することの重要性について言及されている。 著書で示されている、「ITリスク学」の構成要素としては、以下のように幅広い。 情報工学・ソフトウェア工学 情報セキュリティ技術 信頼性工学・安全性工学 心理学・社会学・経済学・法学 リスク学 安全学 これは上にも述べた通り、ITが社会のインフラ（水道・ガス・電力・金融）に密接に関連している結果といえる。また、個別分野のリスク学を統括的に扱って、IT分野に適用することの重要性が高まっている（社会的な要請）結果とも言えるものといえるだろう。 また、いわゆる情報セキュリティ対策と違って、守るべき資産は情報資産に限るものではないため、関わる人々の合意を形成する必要がある。そのため、心理学・社会学・法学などの理解も不可欠である。 ITリスクに対しては、定量的リスク評価がまず不可欠である。定量的リスク評価の結果として、リスクが大きいものへの対応と、リスクが小さい物への対応は明らかに異なるべきだ。少しでもリスクのあるものに対策をとるとすると、無限に対策の必要な対象が広がっていき、対策時間と対策コストが許容範囲を超えざるを得ないためである。 ■まとめ 人は何かの事故が起こると、「こんなことが繰り返されてはならない。あらゆる手段を講じて再発を防止しなければならない。」と考える。しかしながらこれについては、本書で触れられているとおり、定量的なリスク評価の結果として、対策を考える必要がある。そのためには、リスクとリスク対策がつねにトレードオフの関係にあることについて、社会的にオーソライズされている必要がある。 一般に工学分野においては、リスクの定義（リスク　＝　事故の発生確率　×　事故の影響の大きさ）という測定方法については、感覚的に受け入れ難いと考える人もいるだろう。これはリスクを定量化するというえ考え方に、ドライな印象を持つ、ある種のバイアスがあるためであろうと思われる。 リスクを定量化するという考え方自体は間違っていないと考えるが、リスクを定量化するという評価方法にはより多様なアプローチがあれば、そこからよりよいものを選択したい。 例えば原発稼働や地球環境問題の問題など、その経済性と安全性という面に於いても定量化するという手段もあるのではないだろうか。 また、リスクを考えるうえで社会科学や心理学的な接近も不可欠なのではないかと考える。ヒューマンエラーや内部犯行といったものは個人の資質により防止すべきものではなく、何らかのプロアクティブな対策が試みることができるはずである。

プライバシーとセキュリティというITにおける重要な危険を正面から取り上げている。 参考文献も、公式のものはかなり網羅している。 課題としては、技術的な視点が十分でないため、必要な作業の見積もりや予測がしづらい点かもしれない。 枠組みとしては有益なので、具体的技術課題を書き足すとよいかもしれない。 ps. 2000年問題に関して，復習しているのはとてもよい。 日本で技術者の発言を取り上げていないことを指摘している。 コンピュータの専門家に取材していない情報媒体が多いのにはうんざりしていた。 自分はたまたまテレビなどの取材を受けた。 問題点としては貴重な視点だ。 リスクに関しては，診断(assessment)と管理(management)を説明している。

推薦理由： ITシステムに深く依存し、システムの障害が社会生活に大きな混乱や影響を与える現代社会では、ITシステムの安全性を確保し、信頼性を保つことが重要な問題である。本書ではITリスクの様々な問題と、リスクへの向き合い方を解説する。 内容の紹介、感想など： コンピュータウイルス、サイバーテロなどの意図的な不正や、故障、プログラムのバグのような偶発的な障害などによりシステムの安全性を損なう可能性を「ITリスク」という。 著者は、ITリスクの問題群を解説し、政府や民間で行われている対策を紹介する中で、最も大切なのは「ゼロリスクは無い」という基本認識であり、これに基づき、発生頻度や影響の大きさからリスクの大きさを定量的に把握した上で、リスクへの対策を講じるべきであると述べる。また、一つのリスクへの対策が別のリスクの原因になる「多重リスク」の存在や、対策にかかるコストを考慮しつつ、バランスの良い対策を取ることが不可欠である事を主張する。ITリスクとは何か、我々はITリスクとどのように向き合うべきかを解説する本書は、現代の必読書かもしれない。2000年問題についての考察も興味深い。

ITに関するリスクには様々なタイプがあるが、私の知らない新しいタイプのリスクもあって、少しばかり知識が増えた。 論調は比較的繰り返しの内容が多いように思えるが、実際の事例も似た様なものが多いのだろう。細かい記述が多く、参考文献として読むには良いかもしれないが、リスクについて短時間で理解したい向きには逆に読みにくさとなってしまいそう。読書テクニックがあれば上手に読めそうな構成だけれど、考えないで読むには難しい。

最近のリスク学の成果をふまえたリスク・アセスメント手法が紹介されている本。リスク・コミュニケーションの例として示されている2000年問題のくだりの必要性は疑問がある(多重リスクコミュニケータの詳細をもっと教えて欲しかったな)ものの、リスクというものが今、どうとらえられているかを新書で概観できるという意味では貴重な一冊。リスク分析に関する国際規格ISO/IEC27003も発行されたことだし、この本でもう一歩先のリスク分析の仕方を考えておくのは無駄ではないと思うのです。情報セキュリティ・マネジメント・システム担当者などの情報セキュリティ技術者はとりあえず目を通しておいて損はないと思いますぞ。