「リスク(情報セキュリティリスク)」という言葉をどのように定義していますか

「リスク(情報セキュリティリスク)」について

主に情報セキュリティに関連するコラムということで、情報セキュリティが主戦場の現役のプロフェッショナルとして、いろいろと思う事、小ネタ、ちょっとしたノウハウなどを書いていきたいと思います。

最初のテーマは「リスク(情報セキュリティリスク)」についてです。

セキュリティ業界では「リスクベースで云々」とか「個人情報漏えいのリスクが云々」とか「リスク対応が出来ていない」とか、情報セキュリティをやるからには「リスク」という言葉は日常的に出てきますし、使います。

ところが、この「リスク」という言葉の使い方が怪しい、というかあやふやなセキュリティベンダー、コンサルタントも少なくないのが現状です。
ということで、この「リスク」という言葉をちょっと深堀りしてみましょう。

では、「リスク」という言葉を会話や文書の中でどのように使っているでしょうか?

大体、以下のような使い方があります。

①「情報漏えいのリスクがある」「外部からの不正侵入のリスクはない」など、発生して欲しくない事象を指す。
②「情報漏えいのリスクが高い」「ネットワーク経由でのリスクは低い」など、発生して欲しくない事象の確率(可能性)を指す
③「個人情報漏えいのリスクが大きい」「不正利用によるリスクが大きい」など、発生して欲しくない事象による被害・影響を指す

これ以外の場合もありますが、大体この3つです。

つまり、驚いたことに同じ単語が一つの意味で使われておらず、また、きちんと使い分けられてもいないことが非常に多いのです。
これがどういう事態を招くか?例えば、

Aさん:「この構成だと外部ネットワーク経由での顧客情報の漏えいリスクは大丈夫か?」
Bさん:「しかし、これだけ対策しているからリスクは低いと思われますが。」
Cさん:「いや、顧客情報の件数を考えると漏えいのリスクは大きいよ。」
Aさん:「可能なら、そのリスクは無くしたいんだけど・・・。」
Bさん:「いや、ゼロは無理ですね。」

のように、会議で、Aさんは②の意味で話す、Bさんはそれを③の意味と思ってAさんに反論し、Cさんは①の意味だと思ってそれを聞いている、というようなことが起こります。

こうなると、会議が収束しなかったり、きちんと合意ができなかったり、あとで「そういう意味でいったつもりはない」と言われたりと、いいことはありません。

そのため、「リスク」という言葉をきちんと使い分ける、本来であれば別々の言葉を使う(定義する)ことをする必要があります。例えば、

リスク事象:望ましくない事象そのもの(①)
リスク可能性:望ましくない事象の発生確率(②)
リスク影響:望ましくない事象による被害・影響(③)

という感じで。

この「リスク」という用語の意味の使い分けや混同、情報セキュリティが専門でない人がやっているのであれば「しょうがないなぁ」かもしれませんが、情報セキュリティの専門であるベンダーやコンサルタントが出来ていないことが多いのです(試しに某検索エンジンで「セキュリティリスク」で検索してみましょう)。

リスクとリスクアセスメント

さて、「リスク」という言葉の使い分けを特にきちんとしなくてはいけないと私が思っているのは「リスク評価(アセスメント)」です。情報セキュリティにおいて重要な「リスク評価」ですが、使い分けをきちんとできないと、前述の会話のようなことになります。

「リスク評価」はその字面の通り、リスクを評価することですが、この時の「リスク」はどの意味で使われているのでしょう?

言い換えれば、「リスク」の評価軸は何なのか?ということです。ある組織では「リスク可能性」、別の組織では「リスク影響」、また別の組織では「リスク可能性」と「リスク影響」を擬似数値化して何等かの計算をした結果、はたまた、自社の業務の特性上避けるべき「リスク事象」であるかどうか、等々。

どの意味で「リスク」を定義するか?で評価軸は変わるということになります。

つまり、リスクの評価軸は一つではなく、他にもいろいろあるということであり、評価の仕方が変われば、評価結果も異なる可能性があります。

このように、「リスク」という言葉の使い分けがされた状態で評価を進めないと、リスク評価のプロセスや結果への理解が適切に行われないことにつながるため、「リスク」という言葉の定義・使い分けを明示的に行っておくことは非常に重要なのです。

ということで、皆さまの周りでセキュリティリスクの話があったら、「今は、どの意味でのリスクの話をしているのか?」を意識してみることをお勧めします。

また、言葉・用語をきちんと定義・使い分けを行うことは非常に重要なのですが(、そのために規格などには用語集があるはずなのですが)、これがされていない事も意外に多くあるので、皆さんも何かの機会に「あれ?これの定義ってなんだっけ?」と調べてみたり、考えてみたりすると面白いかもしれません。

NANAROQ株式会社セキュリティ・エグゼクティブ・ディレクター
中島浩光

About Author

Comments are closed.