多重化するITリスクに「ITリスク学」の確立を - 佐々木良一氏講演

日立システムズが主催するセミナー「第38回 Prowise Business Forum ITリスクへの対応 - これからのセキュリティ脅威と企業対策」が17日行われ、東京電機大学教授の佐々木良一氏が「ITリスクの考え方 - 対立するリスクにどのように対応するか」と題した基調講演を行った。

ITシステムへの依存度の増大に伴い、情報セキュリティも昨今拡大の一途を辿っている。そうした状況の中、佐々木氏は「ITリスクは"影響×発生確率"で捉えた確率論的扱いが不可欠になってくる」と説明する。「人間は影響が大きい事象をよく起こると思いがちだが、実際に確率というのは直感的には捉えにくいもの。リスクの問題には定量的に考えていくことが必要。リスク対策はその上でどうやっていくかにかかってくる」(佐々木氏)

また、「情報システムがさまざまな機能を持つ現在においては、ITリスク対策はひとつの対策だけで対応するのは困難。複数の対策を組み合わせなければならない」と佐々木氏。さらに、今後は情報や意見交換を個人や組織において相互的に行う"リスクコミュニケーション"が重要であるとも説明する。

こうした状況の中、文部科学省の外郭団体・独立行政法人科学技術振興機構(JST)から資金の援助を受け、佐々木氏自らが開発したのが"多重リスクコミュニケータ(MRC)"だ。同システムは関係者間でITリスク対策の合意のプロセスを合理化するためのもので、混在するセキュリティリスクやプライバシーリスクなど多くのリスクどうしがそれぞれ対立するのを回避するためのソリューションを提案する。また、経営者・顧客・従業員といった複数の意思決定関与者のコミュニケーション支援や、条件に応じた複数の対策の最適な組み合わせのフィードバックも行うことができるとしている。

佐々木氏は「従来、ITリスクの評価には2種類の方式が採用されてきた」と説明する。ひとつは"JIPDEC方式"と呼ばれるもので、「リスク値＝情報資産の価値×脅威×脆弱性」で計算される。そしてもうひとつが『セキュリティはなぜやぶられたのか』の著者としても知られる、アメリカの暗号研究者でコンピュータセキュリティの世界的権威 ブルース・シュナイアーが提唱した"5段階評価法"だ。この手法は、提示されたセキュリティ対策を5つのステップにより評価/検討するもので、その対策が実施すべき価値があるかどうかを判定するための指標として使われる。

しかし、こうした従来の評価手法について、佐々木氏は次のような欠点を指摘する。「JIPDEC方式は、リスク値の大きい情報資産に対する対策を優先して行うというものだが、リスク対策により新たに起きるリスクへの対策が考えられていない。また、5段階方式の場合、多重リスクは回避できても、対策の最適な組み合わせを求めることができない」

これに対し、こうした問題をすべてクリアできると佐々木氏が紹介したのがMRCだ。同システムは、データベースや、対策の組み合わせを決定する最適化エンジン、ITリスクの定量化、意思決定関与者のコミュニケーション支援などの基盤を持ち、ファシリテータや専門家、経営者、顧客、従業員などの関係者がそれぞれインターネットを通じてアクセスできるような仕組みが取られているという。

一方、ITリスクの問題解決にあたっては、佐々木氏が自信を見せるMRCにも限界があるという。「MRCはITリスク問題解決に有効なひとつの手段だが、これの改良を図ろうとすると、ITリスクに関連するいろいろな知識や技術を必要とするとともに、MRCとは違った数多くのアプローチが不可欠になってくる。既存の独学の学問領域からだけのアプローチでは不十分」と佐々木氏。そこで、同氏はこれからのITリスク対策において「ITリスク学」の確立の必要性を訴える。

佐々木氏によると、ITリスク学は、従来の情報セキュリティ学、安全性工学/信頼性工学、ソフトウェア工学などを統合する総合科学に加え、法学や社会学、心理学といった側面からもアプローチする総合的な学問。また、2008年6月には研究会が発足し、すでに4回の会合が開催されており、現在までに特に対応が必要な項目として、ITリスク対策基礎技術の明確化や、ITリスク心理学/社会学などの研究の具体的取り組みなどが挙げられているという。さらに、佐々木氏からは、今後の具体的な予定や方向性について「2010年度中にはITリスク学の第一次的な概念の確立したい。MRCにさらに改良を加えて、社会的に適用できるようにしていきたい」という目標が明らかにされた。