2017年2月10日（金）

セキュリティに関して思うこと

 株式会社ブロードバンドタワー
 プロフェッショナル　許　先明

　ここ数年、ITの世界でもセキュリティが重要視されるようになりました。しかし、「セキュリティって何？」とつぶらな瞳で問われると、案外答えに窮するのではないでしょうか？
 
　ここでは、私が考える「セキュリティって何？」を書いてみたいと思います。
 
　セキュリティという単語の語源はラテン語で、「Se」という「〜から離れる」を意味する接頭語と、「cura」という「心配」を意味する名詞からなる単語です。したがって本来の意味は、「心配から離れた状態」を意味します。この状態を表す日本語が、「安全」「安心」です。そう、セキュリティ関連の広告に「安全」とか「安心」という言葉がよく使われていますよね。
 
　次に、「心配事って何？」と問われると、「生死や傷病」・「財産や収入の毀損」など、何らかの『不利益』が思い浮かぶと思います。
 
　この「不利益」について考えてみると

• 　「対象と内容」（生死、傷病、財産が奪われる、職を失う、等々）
• 　対象に対して不利益が起こる「可能性」
• 　不利益が起こった時の「影響」（残された家族が露頭に迷う、大量の非難を浴びる等々）

というの３つが要素として挙がります。
 
　セキュリティを考える際に重要な概念として「リスク」があります。この「リスク」の意味を、私は相当に単純化して

と考えています。ポイントはリスクの算定方法が足し算ではなく掛け算である事です。この計算が掛け算だから

• 　「不利益が起こっても影響がない」ならば、「不利益が必ず起こる」であってもリスクはない
• 　「不利益が起こる可能性がない」ならば、「不利益が起こると影響が甚大」であってもリスクはない

ということになります。その上で、「可能性も影響も０にならない」からリスクはなくならない、ということを考えるのが基本だと思うのです。
 
　しかし、我々は人間なので、

• 　失う事を考える事自体が恐ろしいから、リスクを詳細に考えたくない
• 　不利益が大きいものほど、発生する可能性を低く考えたい

といった心理的なバイアスが働きます。このバイアスによって、リスクから目を背けてしまうのです。
 
　よく、「準備していれば、影響や可能性を下げられる物事」を、「コストという目先の小さな不利益で覆い隠して逃避する」例を見かけますよね？
 
　私の考える「セキュリティ」とは、

• 　保護する対象を明確化
• 　対象それぞれのリスクと、できるだけ適正に算定
• 　リスクを効率よく下げるための施策を取捨選択し実行

というプロセスを定期的に行うことによって心配が少ない状態にすることなのです。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。