【ひとりごと】or【どこかで誰かと話したこと】で、ほとんどがメモ代わりです。日記をはさみながら気になることや思い付いたことを色々と書こうと思いますが、かなり大雑把に書きますし、比喩表現を使いますので、専門の方からすると「変(正確でない)」と思われることがあるとは思います。また冷たい(厳しい)言葉を使う(らしい)ので、よく「冷たい人」と言われますから、その前提で読んでください。
【Risk Management】#05-02_セキュリティ
2010年03月31日 (水) | 編集 |
前回に続いてセキュリティの話です。

コンピュータの世界で何らかのセキュリティを掛けておくことは常識のようになっています。
それ自体は悪い発想ではありません。
現状、問題なのは「どこまでも際限なく対応しなければならない」ようなイメージを持ってしまっていることです。
以前、『「原因としてのハザードとペリルを明確に見据えた上でのリスク」という意味で"危険"という言葉を使うべき』と書き、また『リスクは、「母数に対して発生する頻度」と「どれぐらいの量を用いると発生するか」等の基礎数値がハッキリしていることが前提』と書きました。
わかりやすく言えば、
 ①.「どういう原因」で「何が起きる」と考えられるのか
 ②.それは「どれぐらいの確率」で発生すると考えられるのか
 ③.それが発生した場合、「損失はどれぐらいになる」と考えられるのか
を整理し、それに対応するために「どれぐらいの費用が必要となるのか」を精査しなければならないと言うことで、セキュリティの名の元に漫然と何でもすれば良いと言うものではありません。
そうなるとエンド・ポイントの設定が必要となります(エンド・ポイントが設定できなければ、どこまですれば完了になるのかを判断できませんから、費用の精査ができないこととなります)。

そういう意味では、リスク・マネージメントは『問題に対してエンド・ポイントを設定し、それに対して「どう進むのか」と言うことを考え、実行するためのもの』ですから、エンド・ポイントの見えないものについては「それを行うこと自体がリスクである」と言う認識を持たなければなりません。

しかしながら、コンピュータにおけるセキュリティでエンド・ポイントを設定している例は稀です。
したがってRisk Managementの面から考えれば、リスクであると言えます。

(続く)

 Risk Management(S)
 (この絵については、こちら
関連記事
スポンサーサイト



テーマ:ひとりごとのようなもの
ジャンル:日記