NaeNote

読者です 読者をやめる 読者になる 読者になる

NaeNote

気楽に生きたい外資コンサルのブログ

雨で足が濡れて気持ち悪い。対応方針を情報セキュリティの知識から考えてみた

テクノロジー テクノロジー-情報セキュリティ
このくらいシェアされています
スポンサーリンク
【おトク情報】 12月12日(月)まで!Amazonが本気の割引セール「CYBER MONDAY SALE」を開催中。会場はこちら!

雨の日

こんにちは、NAEです。

ぼくは雨が嫌いです。特に靴やパンツの裾に雨がしみこむのがどうしても許せません。気持ち悪いったらありゃしない。

どうにかしたいこの問題、ぼくの得意技である情報セキュリティのアイデアを使って対応方法を考えてみました。

脅威、脆弱性、リスクの評価、そしてリスク対応の4戦略・・・そこから導き出されるものとはなにか?

今回はそんなお話。

使うのは「セキュリティリスク対応の4つの戦略」

今回利用するのは、情報セキュリティの知識のなかのひとつ「情報セキュリティリスク管理」というものです。

その中にある「リスク対応の4戦略」をテーマにしてみたいと思います。

そこで本題に入る前に、

  • まずはそもそもリスクとはなんなのか?(リスクの定義)
  • そのリスクの大きさってどんなもの?(リスクの評価)

について見ていきたいと思います。

リスクの定義

f:id:nice_and_easy:20160527092516p:plain:w480

情報セキュリティにおいては、脅威と脆弱性がともに存在するところにリスクあり、と考えます。一言で言うと、弱点を攻撃してくるやつには気をつけろ!ということです。

  • 脅威:自分に悪さをしてくる(しかねない)外的要因
  • 脆弱性:脅威が実害につながる(つながりかねない)自分の弱点
  • リスク:実害

こいつを雨で足が濡れて気持ち悪い問題にあてはめてみると、

  • 脅威:雨(特に横殴りの雨)
  • 脆弱性:雨で濡れてしまう部分(靴や裾)
  • リスク:足が濡れて気持ち悪い

ということになります。

リスクの評価

f:id:nice_and_easy:20160527103717p:plain:w480

次はリスクの評価です。そのリスクをどのくらい重く捉えるか?ということを、発生する可能性と影響度の2軸で考えます。

  • 可能性:そのリスクが現実のものになる(顕在化する)確率は?
  • 影響度:実際に起こったとして、その実害はどのくらい?

右上=起きやすく実害が大きいのならリスクは大きく、左下=あまり起こらないし起こったとしても気にならないのであればリスクは小さく、と評価するいうことですね。右下、左上、真ん中は実に悩ましいところですが、リスク中とする場合が多いです。

さて、今回の場合はどうなるかといいますと・・・

  • 可能性:靴や裾は濡れればしみるものだ(高)
  • 影響度:雨がしみるのは最高に気持ち悪い(大)

というわけで右上、リスク大です。

リスク対応の4戦略

f:id:nice_and_easy:20160527110942p:plain:w480

ようやく本題です。リスク対応には4つの戦略があります。回避、軽減、受容、転嫁です。

回避と軽減はリスクが現実化する前=事前策に、受容と転嫁はリスクが現実化した後=事後対応にフォーカスしています。

回避

そもそもリスクの原因は脅威(悪さをする外的要因)と脆弱性(自分の弱点)だ。であればそいつらを取り除いてしまえ、という戦略です。

情報セキュリティの世界では脅威を取り除くというのはきわめて難しいため、脆弱性をなくす対策を主に考えることになります。脆弱性を持つシステムをそもそも手放して新システムに刷新したり、セキュリティホールを塞ぐことで脆弱性をなくしたり、という感じ。

さて、これを雨が足元にしみる問題に当てはめると・・・

  • 脅威を取り除く
    • 雨の降らない場所に引っ越す
    • 雨の日は外出しない
    • ドア・ツー・ドアで車で移動する
    • 屋内の道だけ歩く
  • 脆弱性を取り除く
    • 雨のしみる先をなくす
      • 短パンをはく
      • ビーチサンダルをはく
    • 雨がしみる余地をゼロにする
      • 雨がしみない靴(雨靴や長靴)をはく
      • 雨がしみないパンツをはく

という感じでしょうか。常時できる対策ばかりではないようです。

軽減

どうやらリスクの回避は無理そうだ。であれば可能な限りリスクを小さくしよう、という戦略です。リスクをゼロにはできないという前提に立っている点が回避との大きな違いです。

リスクの大きさは発生する可能性と発生した際の影響度で評価されるものでした。なのでここではいかに可能性を低く、影響を小さくするかを考えます。情報セキュリティでいうと、そもそもハッカーから攻撃されにくくしよう、侵入を許したとしてもその範囲を限定して実害を抑えよう、という感じ。

さて、これを雨が足元にしみる問題に当てはめると・・・

  • 雨がしみる可能性を低くする
    • なるべく雨の降っている場所を歩かない
    • 靴と裾に防水スプレーをまく
  • 雨がしみた際の影響(気持ち悪さ)を小さくする
    • 防水の靴下をはく(?)
    • しみても気にしない強靭な精神力を身につける

うーん、まずまずですね。

受容

覚悟を決めてリスクを受け入れるという戦略です。事前策(回避、軽減)を打つためのコストとリスクの評価額(発生確率×被害額)を天秤にかけて、後者が小さければ受容しましょうね、となります。

さて、受容にも2つの種類があります。リスクが現実になった際の対応プランを作っておく積極的受容、そしてなにも対策を打たずに被害を受け入れる消極的受容です。いずれも被害を受け入れる点は変わりませんが、対応プランを考えてるコストをかけるか、リスク評価額の違いによって判断します。

さて、これが雨が足元にしみる問題の場合どうなるかというと・・・

  • 積極的受容(雨がしみた際の事後策)
    • パンツや靴下の替えを準備する
    • 目的地に着いたら靴を脱いで乾かす
    • タオルを持参する
  • 消極的受容
    • 乾くまでひたすらガマンする

という感じでしょうか。

転嫁

読んで字のごとく、第三者に責任を押しつけるという戦略です。

情報セキュリティでいうとサイバー保険(セキュリティ被害に対する保険)に加入したり、情報漏えいの原因になったシステムを提供したシステム会社に対して損害補填を求める訴訟を起こしたり、という感じ。なんだか無責任が感じもしますけど、これも立派な打ち手です。

さて、雨が足元にしみる問題の場合は・・・

  • 雨で足元濡れた!謝罪と賠償を要求する!
  • 雨で足元濡れた!安倍のせいだ!政権交代!
  • 雨で足元濡れた日本○ね

いずれも現実的ではなさそうです。

まとめ:リスクはなくせない

というわけで、リスク対応の4戦略の解説とともに、雨の日に足が濡れる問題について考えてみました。

とりあえず防水スプレーをかけて靴下の替えを持ち歩こうと思います。

もし情報セキュリティに興味を持たれたなら、情報処理安全確保支援士(旧:情報セキュリティスペシャリスト)について調べてみることをオススメします。

www.naenote.net

スポンサーリンク