リスクの見立てに迷った時について

これまでの業務や研究で得た知見を交えて、ERM、セキュリティ、ガバナンスについて論評させていただきます。

主題：対象化と判定基準の関係

リスク管理では、Excelを用いて対象領域を分類し、階層的に整理・集計する運用を行う組織が多く、担当される実務者の方々は日々ご苦労されていることと思います。
アセスメントやサーベイの結果を拝見すると、お客様の組織文化や業務慣行の一端が如実に表れているのが分かります。ファイル数もさることながら、容量も非常に大きく、驚かされることもあります。

しかし、対象とする内容の絞り込みが極端すぎる場合や、網羅的に階層分類してはいるものの、部署ごとに分類の前提がブレていたり、予備調査か本調査かが不明瞭なケースにも、しばしば遭遇します。

こうした場面では、測定・査定の妥当性が疑わしく、評価に偏りが生じる可能性もあるため、最小限の前提で最大効果を狙うアプローチを提案することになります。

提案：リスクの選好基準と受容（許容）基準に基づくアプローチ

対象の分類が階層化（一般的には正規化）されていれば、一定の網羅性は担保されているといえます。
とはいえ、分類作業は人的に行われるものである以上、抜け漏れが発生するのはある程度やむを得ないと考えますが、問題は、分類の段階でリスクの「選好」が既に行われているという事実に、作業を担当される実務者が気づいていないケースが少なくないという点です。

非金融分野の上場企業、特に医療・医薬以外の製造業では、従来の品質管理の枠組みに強く影響される傾向があり、懸念を具申しても「？」と空気が変わる場面があります。

アセスメントの一連の流れのなかで、洗い出し作業全体の妥当性に疑問を呈することは、リスク管理部門として重要な出発点です。特に、対象の絞り込みが錯綜しやすい微妙なテーマであるほど、その傾向は強くなります。

このような傾向は、今後取り上げるセキュリティ領域でより顕著に見られます。重複排除や阻害要因の排除を重視しすぎるあまり、費用対効果にまで影響が出ているケースも確認されています。

上図はよく見かける9象限マッピング図です（意図的に基準指標は削除しています）。 二軸のベクトルに対して選好されたリスクをマッピングする作業を行う際、既に選好されているリスク対象を「低減すべきもの」と捉えてしまう傾向が強く、リスク管理＝低減のための機能、という“機能認識の固定化”に陥っているケースがあります。

恒常的なリスク管理業務の初期アプローチとしては、ベクトルの方向性を議論により見極め、「選好」と「受容」に関する共通認識を持つことが望ましいと考えます。

結論：選好した結果が受容基準を超える場合、またその逆も想定する

例示1：マルウェア対策とゼロデイ攻撃

マルウェア対策として、PCに導入されたソフトウェアは週次でパターンファイルが更新されます。しかし、仮にゼロデイ攻撃への対策が反映されていないパターンファイルであれば、更新しても意味がありません。

このように、データ保護の一環としてマルウェア対策ソフトを「選好」したとしても、結果的にゼロデイ攻撃に無力であれば、そのリスクを「受容」している状態であるとも言えます。

さらに、これはオフィスソフトや業務アプリケーションにも適用範囲が及ぶため、PC以外にも波及する可能性があります。

対象分類や洗い出しの段階での整理の仕方が、こうした問題を可視化しにくくしている典型例です。ここでは、「予備調査・準備調査として割り切る」という視点で調整を行います。

最終的には、マルウェア対策ソフトは予防的・発見的というよりは、補完的（是正的）な対策に過ぎないため、リスクを減少させるベクトルには貢献しにくく、本事案においては“使い物にならない”と判断することもあります。
また、洗い出し作業の段階で「重複を嫌いすぎる」と、後の分析でリスクの選好そのものが欠落するという副作用にも注意が必要です。

• 受容基準： 攻撃の種類・種別
• 選好基準： ソフトウェアの脆弱性対策

ゼロデイ攻撃への対策は、予防的措置では対応が困難なため、新たな発見的対策（EDR等）の導入を検討することになります。場合によっては、マルウェア対策ソフト自体を利用しない、という選択肢も視野に入れることが必要です。

選好とは、合理性の限界に基づく意思決定の基準であり、受容基準とは、その程度を計るための指標といえるでしょう。

例示2：コロナ禍における「指数関数的増加」の言説とその偏り

2021年頃、コロナ禍においては「指数関数的に感染が拡大する」という言説が多く見られました。

確かに、定量的に軽症・重症の患者の比率を評価し、病床数や検査キャパシティとの関係を分析することは重要です。しかしこの時期は、指数関数の“増加”の側面にばかり焦点が当てられ、“減少”の可能性やベクトルにはほとんど注意が払われていなかったように思います。

高校数学で学ぶ指数関数・対数関数では、「増加」と「減少」の両方を扱います（詳細は構成文字数の都合で割愛します）。

つまり、減少の要因・要素・要件をいかに仮説化し、どの段階（工程・局面）で「選好」と「受容」の仕組みを用いて有効性を分析できるかが、リスク管理の要諦のひとつといえます。

なぜ「仕組み」として考える必要があるかというと、対策には以下の3類型があり、

1. 課題達成型
2. 問題解決型
3. 施策実行型

このうち①②は費用や進捗の管理が煩雑になりがちですが、③は単純に実行するだけで成果が得られる場合が多く、標準化・再現性のある運用が可能となるからです。

とはいえ、感染拡大の“増加”ばかりに目を奪われ、分析や議論が迷走した当時の言説を思い返すと、学者・評論家には一定の反省が求められるのではないかとも思います。

なお、改正個人情報保護法のように、高額の罰則や時限的な制約が伴う法規制についても、「増加」と「減少」の両ベクトルから判断する視点は、実効的な対策を検討するうえで非常に有効です。

Enterprise Risk MT
（エンタープライズ リスク エムティ)

全社的リスクマネジメント推進　国内開発のERMクラウドサービス　あらゆるリスクを多角的に分析しリスク管理策の進捗状況を一元管理

製品詳細はこちら