GRCS シニアアドバイザー 森本哲司
こんにちは、森本哲司です。
これまでの業務や研究で得た知見を交えて、ERM、セキュリティ、ガバナンスについて論評させていただきます。
なお、疑問や問合せのある方は、こちらまでご連絡ください。
(ご返答はお時間ください。)
主題:対象化と判定基準の関係
リスク管理では、エクセルで対象の領域を分類すること、階層的に整理や集計を行う組織が多く、担当される実務者の方は苦労されています。
アセスメントやサーベイの結果を見せていただくと、お客様の組織文化というか、業務慣行の片鱗が如実に見てとれます。ファイルの数だけでなく、容量も目を見張る大きさもありますが、対象とする内容の絞り込みが激しすぎた場合や、網羅的にそして、階層的に分類しているが、前提が部署毎にブレ・ズレていること、予備調査なのか本調査なのかが不明な事案に遭遇することが多々あります。
測定・査定が妥当でないことで評価に影響を与えている場合、最小アプローチを提案します。
提案:リスクの選好基準と受容(許容)基準で最小の前提で最大効果をねらう
対象の分類が、階層化(一般的には正規化)された状態は、網羅性があるといえます。
しかし、人的作業ですので、抜け漏れの存在は妥協するとしても、既にその段階でリスクの選好が行われている事実を作業をされる実務者が理解していない状態や局面に、しばしば遭遇します。
非金融分野の上場組織、特に医療医薬以外の製造業種では、組織が培ってきた従来の品質管理の仕組みの流儀があるだけに、懸念を具申すると、「?」と空気が変わります。
アセスメントの流れから、その洗い出しの活動全体の妥当性を疑わないのは、リスク管理部門として正常なのかと伝え、議論の出発点とします。対象の絞り込みが錯綜しやすい微妙なテーマである程、その傾向は高くなり、これからご紹介するセキュリティ周りでは顕著です。踏み込んだ表現をすると、重複排除や阻害要因を排除するあまり、費用対効果にまで影響している場合があります。
上記は、よく見かける9象限マッピング図です。(意図的に基準指標を削除しています。)
2軸のベクトルに対して、選好したリスクをマッピングする作業を行いますが、既に選好されたリスク対象の方向性や位置付けを低減に向かわせることがリスク管理である「機能認識の固着」に陥っている場合が多く、議論を通じて、ベクトルの方向性を見極めることが恒常的なリスク管理業務の初期アプローチだとして「選好」と「受容」に関して意見交換します。
結論:選好した結果が受容基準を超える場合と受容した結果が選好基準を超える場合を想定する。
例示1
マルウェア対策によりPCは、週次でパターンファイルが更新されます。
例えば、「ゼロデイ攻撃」対策済みでないパターンファイルを更新しても、効果は得られません。ここでは、リスク管理の施策としてデータ保護にマルウェア対策ソフトの運用を選好しましたが、受容基準がパターンファイルの更新がリスクドライバとなり、「ゼロデイ攻撃」にはある意味では無力です。
つまり、そのリスクを受容していることになります。
これはオフィスソフトウェアや業務アプリケーションも適用の対象となりますので、対象範囲が、PC以外にも広がった影響を得ることになります。
対象の分類や洗い出し段階での整理が、問題を見えにくくしている典型です。予備調査、準備調査として割り切りましょうと組み立てを調整します。結論としては、マルウェア対策ソフトは予防的若しくは、発見的な対策ではなく、補完的(是正的)な対策ですので、減少ベクトルに資することが少なく、本事案では使い物にならないと判断する場合があります。
また、洗い出し作業の段階で重複を嫌いすぎると分析段階で、リスク選好が欠落することも注意が必要です。
- 受容基準:攻撃への種類、種別
- 選好基準:ソフトウェアの脆弱性対策
上記のゼロデイ攻撃対策は、予防的措置では対応することが困難であるため、発見的対策として新しく対策(EDR)を導入する取組を検討することになります。
その判断の際には、マルウェア対策ソフトを利用しないことも判断基準のひとつになります。
つまり、選好とは合理性の限界を意思決定する基準であり、受容基準は、その程度を計るものと云えます。
例示2
コロナ禍で学者や評論家が口にした「指数関数」等の視点や観点の問題です。
定量的にコロナ罹患者の軽症度・重症度の割合を判断し、軽度の患者が持つリスクを、どの程度まで見込むべきか、病院のベッド数確保や検査キャパシティに対する対応のテーマです。2021年には、これとクラスター分析をよく耳にしましたが、この時は指数関数における増加関数ばかりに焦点はあてられ、減少関数が無視されていました。
高校数学でカリキュラムされる指数関数・対数関数は、しっかりと増加と減少を学習(詳細な説明は、構成文字数の都合で割愛します)させられましたね。
つまり、減少の要因、要素、要件をどう絞り込んで仮説し、どの段階(工程や局面)で選好と受容の仕組みから管理の有効性を分析するかが、リスク管理のキモのひとつと云えます。
何故、仕組みかというと、対策には①課題達成型②問題解決型③施策実行型がありますが、施策実行型以外は、費用や進捗の管理が煩雑になるからです。単純に実行することで成果が上がることは、マニュアルや手順・手続書と同等で誰しも同じ成果が期待できるからになります。
しかし、増加ばかりに焦点を当て迷走する言説をばらまいた学者や評論家は、反省が必要ではないでしょうか。
なお、改訂個人情報保護法のような高額の罰則規定や時限的制約がある法規制に対しても、減少と増加のベクトルで判断する観点は、対策の幅を広げるには有効です。
次回、選好と受容をまじえた、従来から掘り下げた判定方法、手法をご紹介いたします。