●トピック
●深く知る
情報セキュリティはIT投資と呼ばれる。IT投資とは、初期導入では非常にお金がかかるが、将来的な業務の効率化を見込めば収益がプラスになるという考え方から来るものである。将来的に起こりうる事象を推測しリスクを回避する観点から、情報セキュリティもIT資産であり、リスクに対応するに適した投入金額を決定する必要がある。ただ、すべてのリスクに対応するなどナンセンスであるし、そんなことをすれば資金が底をつき主幹となるビジネスに手が回らなくなってしまう。投資という言葉が使われるようにバランスが大切である。その一方で、将来起こりうるリスクに対しては人間はとても鈍感である。(これだけ地震が起きているのに防災対策をしない。)発生確率を損失の期待値の観点から情報セキュリティの対処を模索するのがリスク分析である。
リスクを選定し、適切なリスク分析プロセスに導くことで投資利益率を求めることがビジネスでは必要だ。定性的分析のリスク分析マトリックスや、定量的分析の年間予想損失額から、将来生じたであろう損を減らすことが求められる。ただ、こうした時間を要し改善したとしても残留リスクがあることを忘れてならない。上記でも記載したが目的はリスクを完璧になくすことではなく、ある程度のリスクは受け入れていくことになる。