ITリスクの考え方 岩波新書

昨今，セキュリティセキュリティといわれることが多くなったように思う． 大学院での専攻が情報工学ということもあり，”ＩＴリスク”という言葉にひかれて読んでみた． そもそもセキュリティとは，リスクとは何なのか？というところから述べているので，今まで漠然ととらえていた概念を再構築する手助けになった．リスクに対する対策をどのように優先順位を付けて実行していくかなどの考え方は，ふつうの仕事にも役に立つ気がした． 本の中でいくつか重複する内容がところどころ書かれており，多少冗長だと感じた部分があった．

シンポジウムでデジタル・フォレンジック研究会会長　佐々木良一さんの講演を聞き、研究者としてのアカデミックな視点と情熱に感銘を受けたので、その著書を読んでみた。 佐々木氏はこの著書で社会全体のITシステムへの依存の増大によりITシステムの安全が重要になってきたという昨今の状況を踏まえ、今後ますます増大が予想されるITリスク問題に対してアプローチ方法を体系化し「ITリスク学」とでもいうべきものを確立することの重要性について言及されている。 著書で示されている、「ITリスク学」の構成要素としては、以下のように幅広い。 情報工学・ソフトウェア工学 情報セキュリティ技術 信頼性工学・安全性工学 心理学・社会学・経済学・法学 リスク学 安全学 これは上にも述べた通り、ITが社会のインフラ（水道・ガス・電力・金融）に密接に関連している結果といえる。また、個別分野のリスク学を統括的に扱って、IT分野に適用することの重要性が高まっている（社会的な要請）結果とも言えるものといえるだろう。 また、いわゆる情報セキュリティ対策と違って、守るべき資産は情報資産に限るものではないため、関わる人々の合意を形成する必要がある。そのため、心理学・社会学・法学などの理解も不可欠である。 ITリスクに対しては、定量的リスク評価がまず不可欠である。定量的リスク評価の結果として、リスクが大きいものへの対応と、リスクが小さい物への対応は明らかに異なるべきだ。少しでもリスクのあるものに対策をとるとすると、無限に対策の必要な対象が広がっていき、対策時間と対策コストが許容範囲を超えざるを得ないためである。 ■まとめ 人は何かの事故が起こると、「こんなことが繰り返されてはならない。あらゆる手段を講じて再発を防止しなければならない。」と考える。しかしながらこれについては、本書で触れられているとおり、定量的なリスク評価の結果として、対策を考える必要がある。そのためには、リスクとリスク対策がつねにトレードオフの関係にあることについて、社会的にオーソライズされている必要がある。 一般に工学分野においては、リスクの定義（リスク　＝　事故の発生確率　×　事故の影響の大きさ）という測定方法については、感覚的に受け入れ難いと考える人もいるだろう。これはリスクを定量化するというえ考え方に、ドライな印象を持つ、ある種のバイアスがあるためであろうと思われる。 リスクを定量化するという考え方自体は間違っていないと考えるが、リスクを定量化するという評価方法にはより多様なアプローチがあれば、そこからよりよいものを選択したい。 例えば原発稼働や地球環境問題の問題など、その経済性と安全性という面に於いても定量化するという手段もあるのではないだろうか。 また、リスクを考えるうえで社会科学や心理学的な接近も不可欠なのではないかと考える。ヒューマンエラーや内部犯行といったものは個人の資質により防止すべきものではなく、何らかのプロアクティブな対策が試みることができるはずである。

プライバシーとセキュリティというITにおける重要な危険を正面から取り上げている。 参考文献も、公式のものはかなり網羅している。 課題としては、技術的な視点が十分でないため、必要な作業の見積もりや予測がしづらい点かもしれない。 枠組みとしては有益なので、具体的技術課題を書き足すとよいかもしれない。 ps. 2000年問題に関して，復習しているのはとてもよい。 日本で技術者の発言を取り上げていないことを指摘している。 コンピュータの専門家に取材していない情報媒体が多いのにはうんざりしていた。 自分はたまたまテレビなどの取材を受けた。 問題点としては貴重な視点だ。 リスクに関しては，診断(assessment)と管理(management)を説明している。