ENGINEER BLOG

ENGINEER BLOG

続)リスクマネジメントで良い旅を

こんにちは。
ITサービスマネジメント本部の池田です。

リスクマネジメントで良い旅をの続きとなります。

今回は、情報セキュリティマネジメントの一つであるリスクマネジメントについて、現場の担当者の視点で少しお話しさせていただきます。

プロジェクト管理の世界で「リスクマネジメント」とはプロジェクトの達成を阻害する可能性のある"顕在化していない"要因の管理ですが、
情報セキュリティの世界で「リスクマネジメント」というとビジネス、経営を阻害する情報セキュリティ上の問題の管理になります。

◆情報セキュリティにおけるリスクマネジメントとは?

先ずは教科書のおさらいです。

リスクマネジメントには以下の4つのプロセスがあります。

① 特定:リスクを明らかにする
② 分析:発生率や影響度から損害を受けた際の費用を数値化する
③ 評価:リスク対策するか判断する
④ 対策:判断に基づき対処する

リスクに応じて対策しますが、対策にも以下の4つの方法がとられます。

④-1 低減:リスクを最小化するための対策
④-2 保有:リスク=被害を受容する
④-3 回避:リスク発生の要因を排除する
④-4 移転:(一部)他のものに置き換える

ここまでは、教科書に載っている情報セキュリティのリスク対策についての説明のため、皆さんご存じだと思いますので説明は端折ります。

情報セキュリティ特有のものではなく、リスクマネジメント全般に言える対策ですが
果たして、実際にこの通りに対策すれば企業は幸せになれるのでしょうか?

因みに個人的には海に浮かんでいるだけで幸せです。
運搬方法を悩んで1年経ってしまいましたが、沼津に艇庫を借りてカヤックを買ってしまおうと決意しました。

◆実際の現場の出来事

A社の事例

自社の監査部門に指摘を受けてしまったので、XYZというシステムのセキュリティ対策を実施し無くてはならなず協力してほしいとのこと。
聞けば、XYZというシステムには極僅かながら個人情報が保管されており、社内の規定に基づきリスクを明確にしたうえで対策するように指示があったそうです。

B社の事例

「ちゃんとセキュリティ対策するために」 日々脆弱性対応パッチの適用を頑張ってます。
効果を得るために多大な工数を割かれていました。

C社の事例

とあるシステムで、サービスイン直前にセキュリティ対策が不足しているということが発覚。社内監査部門から指摘を受け、対処のためあらためてシステムの見直しを行い、サービスインがスケジュールより数か月遅延しました。

確かにどの現場でも問題を認識した後は、教科書に則ってリスクマネジメントする努力が伺えました。
リスクを明確化し、分析~評価を行い、対策を講じています。

根本的に解決するためにシステム改修を行いリスク回避したり、リスク低減させるために運用をガチガチに固めてみたり、はたまたセキュリティ対策システムを導入してみたりと・・・
但し、どの現場でも言えるのですが、皆さん悲壮感漂う顔つきで藁にも縋る思いで、時間もコストもかからない魔法の様なアイデアは無いのかと相談に来られます。

しかし、このような状態になってしまっては打てる手は限られており、常道の対策をするしか無いのが現状です。
更に、既に存在してしまっている問題に対して後付けでセキュリティ対策すると、歪で手間のかかる上にコストもかかる、非常にやっかいな負の遺産となってしまいます。
教科書通りにやったにも関わらず、です。

余談ですが、海の上で問題が発生すると命にかかわります。
あれよという間に爆風に襲われ岸に戻る間もなく海上は大荒れに・・・なんてことも年に何回か。
ブローチングしないよう波を真後ろから受けジグザクにコースを修正しながら湾内に帰るという教科書通りの操作をしてもリスクは回避できません。
既に海の上は危険な状態になってしまっているからです。これを書いているという事は生きて帰ってこれたんですが。

◆現実の課題

このようにIT担当者の方は、放置したり手を抜いたりせず正しい道を進もうと努力しているのですが、理想とはかなり遠いイメージになってしまいます。
何故ならば"今動いているシステム"や、“構成が決まってしまったシステム” に対して情報セキュリティ対策を考えるからです。

重要なのは、そもそもリスクを保有しないこと

リスクマネジメントの考え方では、そのリスク保有するか否かという課題に対して、企画段階で保有すべきかを考慮し、且つセキュリティのライフサイクルを加味したシステムデザインをすることで理想に近づけることができます。
今更ですが、そういう事を怠ったために、現在稼働しているシステムは不幸なシステムになってしまっている事が殆どです。問題を認識するのが設計後、運用中では遅いのです。
(技術の進歩は早いので、現在稼働しているシステムを構築した当時は、そのような事を考えなくても大丈夫な風潮であったことも要因ですね。)

だからこそ、次に作るシステムは、最初からリスクマネジメントを考慮して作らなくてはなりません。

◆理想に近づけるために

内閣サイバーセキュリティセンター(NISC)が随分前から提唱しているセキュリティバイデザインという考え方があります。
これは最初からセキュリティのことを考えてサービスを企画しましょうという考え方です。メリットとして

  • 構築時の手戻りが少い
  • 現実的で無理のない運用を考慮したサービスを構築できる
    →将来的なコストも抑止できるというものです。

IPAの資料によると、最初(=デザイン・企画段階)にセキュリティを考慮した場合のコストを1とすると、運用(=本番化されているシステム)に対するセキュリティ対策コストは100倍かかるという試算結果があります。
※IPA 「セキュリティ・バイ・デザイン入門」より引用
https://www.ipa.go.jp/files/000055823.pdf

100倍と聞くと大げさな気がしますが、実際にセキュリティ対策に支払っているランニングまで考慮すると実感のある数字だと思います。

例えば、最初から考慮しておけば持たないという選択肢もあった個人情報DBに対して、システム構築後にセキュリティ対策を実施するよう指摘を受け、毎日30分の監査業務が発生するとします。

  • 月曜から金曜まで週5日、1か月4週間で計算すると20日×0.5h=10時間
  • @5千円の要員原価は50千円/月、1年だと600千円、5年で3,000千円
  • 最初から個人情報DBなんて持たなければこんな手間=コストはかからなかったのに・・・・

この様に後付け対策を続けていると100倍ではとても足りない可能性だってあるんです。

だからこそ最初に考えるべきは要求事項とリスクの共存。
システム化の要求に対して実現性とコストが優先するならばこそ、セキュリティリスクを最初の段階で考慮に入れてることで実現性が明確になり、コストをプッシュすることなくシステムが出来上がるわけです。
それこそが、"今"必要なリスクマネジメントです。

またまた余談ですが、海に出る時も最初からリスクを考えることが重要です。
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
出艇前には必ず天気を把握する習慣を徹底し、無理のない運行計画を立てる。
海上では急に風向きが変わり陸側から風が吹き出したりすることがよくあります。
このような気象変化に気付いたら早めに帰港するようにしましょう。
https://www.kaiho.mlit.go.jp/03kanku/04sankanakukatudou/miniboat/tenki.htm
※海上保安庁 「天気のことを知ろう」より引用

◆おわりに

今回のコラムでは綺麗事を並べています。
ITに関わる人間なら当然の如くセキュリティに対して敏感です。どんなシステムだってリスクアセスメントを行い問題があるなら対策はしてるんです。
それなのに何が綺麗事なのかというと、現実的には様々な要因によってセキュリティは後回しにされています。

コスト>リスク?
要 求>リスク?

我々のやっていることはビジネスです。故に経済で天秤にかけるのも、要求に対して天秤にかけるのも至極当然のことです。
その結果、本来実施するべきリスク対策を全て実装することは非常に困難でしょう。
その様な状況であればこそ、リスクマネジメントの"マネジメント"部分=経済観念を持ったリスクマネジメントが重要になります。

"企画段階で"リスクアセスして、“ビジネスとして判断する”

このようなリスクマネジメントを行うことで
リスクの発生を抑えること、
もしくはリスクが顕在化した時の影響を最小限に抑えることが出来ます。

リスクが潜在していることも
リスクが顕在化することも
いずれも悪いことではありません。
いかにリスクを関係者で共有し、コントロールするか、が大事なんだと思っています。

あー、伊豆行きたくなってきました。(もちろん目的は海!!)
それでは良い旅を♪

最後の余談ですが、人間は脳内で様々なホルモンを作ってます。
その中でも幸福感、ストレス解消ホルモンズ(セロトニン、エンドルフィン、ドーパミン)についてお話しします。

・セロトニン(ストレス耐性向上)
 日光を浴びる、報酬を期待できる我慢中
・エンドルフィン(多幸感)
 ストレスを受けている、若しくはストレスから解放されたとき、1/fゆらぎ
・ドーパミン(やる気スイッチ、多幸感、依存性あり)
 達成したとき

私は海に浮くことで、日光を浴び、1/fゆらぎを受けてセロトニンとエンドルフィンが作られ
達成直前の我慢してる状態でセロトニン追加、最後に達成してドーパミン放出といった具合で毎週ストレスが解消されていきます。

皆さんは普段の生活で次のようなことを試していただくと同じようにホルモンズに愛されます。
是非試してみてください。

・セロトニン 
 適度なリズム運動→一駅分歩くとか、咀嚼(リズムよく)
・エンドルフィン
 好きなことをやるとか、感謝される→先ずは自分が相手に対して感謝してみましょう
・ドーパミン
 タスクを細かく刻んで小さな達成感を感じる様にするとか言われますね