3月11日に発生した東日本大震災では、広範囲で多くの方が被害を受けられました。お見舞いを申し上げると共に、被災地の一日も早い復興をお祈りいたします。今回の震災では原子力発電所の損傷による放射線漏れが大きな問題となっています。
今後のエネルギー政策上、原発のリスクが活発に議論されていますが、この「リスク」という言葉は、情報セキュリティにおいても重要な概念です。今回はそのお話です。
「原発はリスキーだ」「そのリスクは今までなかったものだ」など、私たちは「リスク」という言葉を恐ろしさや未知性を表すものとして日常的に使っています。
しかし、情報セキュリティでは、「リスク」はある種の確率的概念であり、次の数式で計算される値です。
リスク値 = 事故の発生可能性 × 事故の影響度
「事故の発生可能性」「事故の影響度」にどのような数値が入るかはここでは触れません。それぞれ%やレベル値などの数値と考えていただいてよいでしょう。
「飛行機は安全な乗り物」と言われるのは、事故の「影響度」は大きくても「発生可能性」がかなり小さい為、積であるリスク値が小さくなるからです。「原発は安全」と言われる所以もここにあります。
リスクを軽減するには、「事故の発生可能性」「事故の影響度」のどちらかを下げればよいことになります。
USBメモリの紛失による個人情報の漏洩が問題となっていますが、それはUSBメモリが小さくて紛失しやすく(発生可能性大)、またプライバシーが関わる情報を大量に保存できる(影響度大)からです。
もしUSBメモリにプライバシー情報を保存しなければ、全体の漏洩リスクはぐんと下がります。情報セキュリティの世界では、このように起こりえるトラブルを数値化して目の前に並べ、リスク値の高いものから優先的に対策をとりその値を下げていきます。
これが「リスク対応」と呼ばれるもので、機密性の向上、ウィルス対策ソフトの導入、ルールの徹底や教育であったりします。
では、これらの対策をどこまでやればよいのか。ここが悩みのタネです。無理はしないことが大切です。
すべてを管理しようとするのではなく、不用な情報を廃棄する、漏洩しても影響が小さい情報にはあえて対策をとらず体力を温存することも立派な対策です。危険性に過敏になり身動きが取れなくなってしまっては本末転倒です。
一方、リスクはあくまでも「起こるかもしれない」という可能性を示しているに過ぎません。事故は起こる時は起こるものです。リスクは決してゼロになりません。もし事故が起こったらどこへ連絡しどう対応するかなどをシミュレートし、最悪の自体にならないように備えることも実は重要です。
このような観点から、今回の原発事故を分析してみると、私たちがリスクとどうつき合っていけばよいかが見えてくるかもしれませんね。
■PROFILE 【
会田 和弘 アイダカズヒロ 】
認定NPO法人イーパーツ常務理事 東京電機大学非常勤講師
1996年、大手プロバイダの子ども向けコンテンツの管理運営をきっかけに、インターネットに関わる。現在、企業から中古PCを貰い受け非営利団体へ寄贈するプログラムを実施すると共に、情報セキュリティの啓発と普及に努めている。
総務省「地域における情報セキュリティサポーター育成に関する調査研究」検討委員。慶応大卒。
著書:「情報セキュリティ入門」共立出版 2009。共著:情報ネットワーク法学会他編「インターネット上の誹謗中傷と責任」商事法務 2005。
ご意見ご感想をお待ちしております。
ボラみみより情報局まで。