「ITリスクの考え方」
佐々木良一 著
著書で示されている、「ITリスク学」の構成要素としては、以下のように幅広い。
佐々木良一 著
第1章 情報セキュリティからITリスクへ
第2章 「2000年問題」を再考する
第3章 「リスク」を考えるということ
第4章 ITリスクの問題群
第5章 ITリスクへのアプローチ
終章 ITリスクに立ち向かう
シンポジウムでデジタル・フォレンジック研究会会長 佐々木良一さんの講演を聞き、研究者としてのアカデミックな視点と情熱に感銘を受けたので、その著書を読んでみた。
佐々木氏はこの著書で社会全体のITシステムへの依存の増大によりITシステムの安全が重要になってきたという昨今の状況を踏まえ、今後ますます増大が予想されるITリスク問題に対してアプローチ方法を体系化し「ITリスク学」とでもいうべきものを確立することの重要性について言及されている。
著書で示されている、「ITリスク学」の構成要素としては、以下のように幅広い。
- 情報工学・ソフトウェア工学
- 情報セキュリティ技術
- 信頼性工学・安全性工学
- 心理学・社会学・経済学・法学
- リスク学
- 安全学
これは上にも述べた通り、ITが社会のインフラ(水道・ガス・電力・金融)に密接に関連している結果といえる。また、個別分野のリスク学を統括的に扱って、IT分野に適用することの重要性が高まっている(社会的な要請)結果とも言えるものといえるだろう。
また、いわゆる情報セキュリティ対策と違って、守るべき資産は情報資産に限るものではないため、関わる人々の合意を形成する必要がある。そのため、心理学・社会学・法学などの理解も不可欠である。
ITリスクに対しては、定量的リスク評価がまず不可欠である。定量的リスク評価の結果として、リスクが大きいものへの対応と、リスクが小さい物への対応は明らかに異なるべきだ。少しでもリスクのあるものに対策をとるとすると、無限に対策の必要な対象が広がっていき、対策時間と対策コストが許容範囲を超えざるを得ないためである。
■まとめ
人は何かの事故が起こると、「こんなことが繰り返されてはならない。あらゆる手段を講じて再発を防止しなければならない。」と考える。しかしながらこれについては、本書で触れられているとおり、定量的なリスク評価の結果として、対策を考える必要がある。そのためには、リスクとリスク対策がつねにトレードオフの関係にあることについて、社会的にオーソライズされている必要がある。
一般に工学分野においては、リスクの定義(リスク = 事故の発生確率 × 事故の影響の大きさ)という測定方法については、感覚的に受け入れ難いと考える人もいるだろう。これはリスクを定量化するというえ考え方に、ドライな印象を持つ、ある種のバイアスがあるためであろうと思われる。
リスクを定量化するという考え方自体は間違っていないと考えるが、リスクを定量化するという評価方法にはより多様なアプローチがあれば、そこからよりよいものを選択したい。
例えば原発稼働や地球環境問題の問題など、その経済性と安全性という面に於いても定量化するという手段もあるのではないだろうか。
また、リスクを考えるうえで社会科学や心理学的な接近も不可欠なのではないかと考える。ヒューマンエラーや内部犯行といったものは個人の資質により防止すべきものではなく、何らかのプロアクティブな対策が試みることができるはずである。
0 件のコメント:
コメントを投稿