リスクマネジメントの専門知識・事例を学ぶ

プロローグ
第一回コラムでは、情報セキュリティの課題について述べた。
概略すると、以下のようなものになる。
■ 課題を生み出す環境
マスメディア・市場関係者による、個人情報保護法を利用したプロパガンダの形成
■ ユーザーにおける情報セキュリティの課題
ユーザーにおいて、“セキュリティリスクの経営に対する影響を適切に判断し、その課題のポジショニングを明確にして、明確な優先順位の元に実装する”という『セキュリティリスクマネジメント』の思考プロセスが欠落していること。
そのため、優先順位が錯綜し、効果が不明確なセキュリティ投資が横行している。

そもそも情報セキュリティとは、直訳すれば、“情報に関する安全保障”といった意味合いになる。
“情報に関する安全保障”としては、CIAの担保が一般的である。CIAとは、Confidentiality（機密性）・Integrity（完全性）・Availability（可用性）の頭文字をとっている。
■ 機密性：機密情報を漏洩から守ること
特許情報や各種ノウハウ、あるいは個人情報などの漏洩防止が該当する。
■ 完全性：情報の妥当性・正確性を守ること
顧客情報や公開情報などの妥当性・正確性の保護が該当する。
■ 可用性：情報が適切に使える状態を守ること
顧客DBやWebサイトなどの稼働保全が該当する。

この“情報に関する安全保障”は、前回コラムで取り上げた個人情報に限らず、日本企業における経営戦略の観点からますますその重要度を増している。
なぜなら、CIAが毀損した場合の企業に対するインパクトが、加速的に拡大しているからである。

経営戦略とはつまり、競合優位性を担保するためのシステムである。競合優位を構成する要素には様々なものがあるが、その中で、情報利用の巧拙が与えるインパクトが大きくなっている。

従来、日本企業には、製造業を中心に、押しなべて高品質・低価格を実現するマインドやノウハウが存在し、これらは明らかに他国と格差があった。それは、コンセプトの形成力において優位に立つ米国などと比較しても、特異な能力として確固たるポジションを持っていたし（畏敬の念さえかのプライド高きアメリカに持たれていた）、現在、（新）新興国として注目されるBRICs（Brazil・Russia・India・China）などは足許にも及ばない強さであった。
このような圧倒的な強さがあるゆえ、過去、多少の情報漏洩など情報セキュリティの毀損があったとしても、経営戦略上の優位性は揺るがなかったといえる。これは、今に至って日本が特許後進国と言われる現状が証左となる。特許戦略などおざなりでも、揺るぎない高品質・低価格の優位性がその損失をSpoilしてくれたのである。

しかし、その神通力は今となっては霧散してしまったと言える。日本のお家芸であったエレクトロニクスなどの世界では、常に韓国・台湾などの企業に追い上げられ、足許を掬われるに至っている。
今やグローバルな競争環境において、日本は、一プレイヤーに過ぎないのである。
そして、この競争環境のグローバル化が、日本企業における“情報セキュリティ”の重要性を拡大させているのである。

つまり、島国環境の終焉である。ロシア大統領にして、“もっともよくできた社会主義”と言わしめた日本の行政による護送船団方式で、国内の様々な業種・企業がポジションを割り当てられ、事業継続性を確保していた。このような環境下では、海外企業の国内市場への進出は著しくガードされ、暗黙のルールの下、国内企業中心の競争環境に限定することができた。そこでは、例えば“マネシタ”と揶揄された過去の松下のような戦略も有効であり、情報セキュリティの重要性は、経営戦略上相対的に低かったといえる。

しかし、市場がグローバル化された現在においては、競合は国内企業に限定することはできず、他国のルールに晒されることになる。コピー商品が横行する新興国や、情報戦略に優れた欧米諸国と共通の市場で戦うには、経営戦略として情報セキュリティの担保は不可欠となる。

さらに、インターネットの隆盛による購買速度の飛躍的な向上によって、例えばネットショッピングサイトにおいて些細な価格表記のミスが多大な損失を招いたケース（完全性の毀損）、あるいは、米国の同時多発テロによって一時的に世界規模で金融機能が停滞したケース（可用性の毀損）など、情報セキュリティの重要性は最早無視できないものと言える。

経営戦略の観点において情報セキュリティを効果的に担保するには、リスクマネジメントの観点が欠かせない。
しかし、現状の“セキュリティリスクマネジメント”の捉え方には、一抹の不安がある。
つまり、リスクマネジメントという本来総合的な視点に立つべき方法論を、各論に押し込める風潮があるということである。

例えば、セキュリティと言えばアンチウィルスであったり、継続性マネジメントであったりと、対策が先行して語られてしまっているのである。本来的なリスクマネジメントの観点からすれば、いきなりそのような言葉が出てくることはおかしい。

例えば、継続性マネジメントの一環である、データセンターのディザスタリカバリサイト構築について考えてみよう。ここではあえて、異論正論に挑戦する。
東京で、基幹システムを保持する自社データセンターを持つ流通業者A社（日本国内を事業領域とする）が、東京での大規模震災を想定して、大阪に24h以内に70%の機能を復旧可能なディザスタリカバリサイト構築を検討しているとしよう。その目的は、仮に東京が破壊されても、大阪で事業継続性を担保するというものである。

このディザスタリカバリサイトが完成すれば、確かにこの企業は大阪で自社の基幹業務を継続できるであろう。
しかし、実際に東京で震災が発生し、都市機能が完全に破壊された場合、何が起きるであろうか？
おそらく、大部分を東京に依存する日本の経済機能は、全国的にほぼ停滞する。つまり、そこには、A社の顧客は既に存在しないことになる。

顧客が機能停止し、存在しない環境において、自社だけが基幹業務を頑なに継続することに何の意味があるのか？

阪神大震災などの教訓を踏まえ、国家施策として都市機能のリカバリ計画を立て、そこに参画するというのであれば理解できるが、一企業のリスク対策としてこのような大規模な投資を行い、そのシステムの先進性を誇示するというのは、いかがなものであろうか。

上記は極論かもしれないが、リスクマネジメントを経営戦略に従属する体系的なコンセプトとして思考プロセスを極めるのではなく、対策ありきで投資プロジェクトを進める風潮が実在し、その結果、不可解なセキュリティ投資は後を絶たない現実がある。

では、経営戦略に従属する体系的なコンセプトとしてのセキュリティリスクマネジメントとは何か。
ここではあらためて、セキュリティリスクマネジメントの体系を整理したい。
添付の図を参照いただきたい。

前述の通り、情報セキュリティには、CIAの三つのカテゴリがある。
この三つの観点でリスクを整理する。
リスクマネジメント
リスクとは、以下の式で表すことができる。
リスク＝脅威度（危険衝撃度×危険発生確率）×脆弱性
危険衝撃度とは、リスクが顕在化した場合のインパクトを指し、それにさらに危険発生確率を掛け合わせることで、どの程度のインパクトが、どの程度の確率で発生するかを意味する。
脆弱性とは、脅威度に対する耐性を指し、危険衝撃度、あるいは危険発生確率を抑制する対策がどれだけとれているかを意味する。
この脅威度と脆弱性を掛け合わせ、マトリクスにプロットすることによって、脅威度を軸とした対策必要性の判断を得ることができる。そして、プロットされたマトリクスのゾーンごとに、対策オプションとして回避・除去・保有・転嫁を選択する。
前述の流通業者A社の例で言えば、東京における震災リスクへの対策が、果たして除去オプションに該当するのか、という観点で疑問符がつく、ということになる。

そして重要なのは、リスクマネジメントの上位概念として、経営戦略を明確に念頭に置くこととなる。
経営戦略の主目的として利益創出能力があり、各リスク対策オプションが、売上とコストのバランスにどのように寄与するのかという観点から、最終的に対策投資の妥当性を検証する。
前述の流通業者A社の例では、大阪にディザスタリカバリサイトを構築するというオプションが、バランス的に正当なのかどうかという検証が欠落していると言える。

以上のように、セキュリティリスクマネジメントの体系は、企業において至極当然のロジックと言える。
しかし、あらためて各所のセキュリティ対策事例をよく考察すれば、この至極当然のロジックが欠落しているように、読者諸氏も見えてしまうのではないだろうか。

次章では、『セキュリティリスクマネジメントの実践の手法』について解説する。