2010年03月31日 (水) | 編集 |
前回に続いてセキュリティの話です。
コンピュータの世界で何らかのセキュリティを掛けておくことは常識のようになっています。
それ自体は悪い発想ではありません。
現状、問題なのは「どこまでも際限なく対応しなければならない」ようなイメージを持ってしまっていることです。
以前、『「原因としてのハザードとペリルを明確に見据えた上でのリスク」という意味で"危険"という言葉を使うべき』と書き、また『リスクは、「母数に対して発生する頻度」と「どれぐらいの量を用いると発生するか」等の基礎数値がハッキリしていることが前提』と書きました。
わかりやすく言えば、
①.「どういう原因」で「何が起きる」と考えられるのか
②.それは「どれぐらいの確率」で発生すると考えられるのか
③.それが発生した場合、「損失はどれぐらいになる」と考えられるのか
を整理し、それに対応するために「どれぐらいの費用が必要となるのか」を精査しなければならないと言うことで、セキュリティの名の元に漫然と何でもすれば良いと言うものではありません。
そうなるとエンド・ポイントの設定が必要となります(エンド・ポイントが設定できなければ、どこまですれば完了になるのかを判断できませんから、費用の精査ができないこととなります)。
そういう意味では、リスク・マネージメントは『問題に対してエンド・ポイントを設定し、それに対して「どう進むのか」と言うことを考え、実行するためのもの』ですから、エンド・ポイントの見えないものについては「それを行うこと自体がリスクである」と言う認識を持たなければなりません。
しかしながら、コンピュータにおけるセキュリティでエンド・ポイントを設定している例は稀です。
したがってRisk Managementの面から考えれば、リスクであると言えます。
(続く)
(この絵については、こちら)
コンピュータの世界で何らかのセキュリティを掛けておくことは常識のようになっています。
それ自体は悪い発想ではありません。
現状、問題なのは「どこまでも際限なく対応しなければならない」ようなイメージを持ってしまっていることです。
以前、『「原因としてのハザードとペリルを明確に見据えた上でのリスク」という意味で"危険"という言葉を使うべき』と書き、また『リスクは、「母数に対して発生する頻度」と「どれぐらいの量を用いると発生するか」等の基礎数値がハッキリしていることが前提』と書きました。
わかりやすく言えば、
①.「どういう原因」で「何が起きる」と考えられるのか
②.それは「どれぐらいの確率」で発生すると考えられるのか
③.それが発生した場合、「損失はどれぐらいになる」と考えられるのか
を整理し、それに対応するために「どれぐらいの費用が必要となるのか」を精査しなければならないと言うことで、セキュリティの名の元に漫然と何でもすれば良いと言うものではありません。
そうなるとエンド・ポイントの設定が必要となります(エンド・ポイントが設定できなければ、どこまですれば完了になるのかを判断できませんから、費用の精査ができないこととなります)。
そういう意味では、リスク・マネージメントは『問題に対してエンド・ポイントを設定し、それに対して「どう進むのか」と言うことを考え、実行するためのもの』ですから、エンド・ポイントの見えないものについては「それを行うこと自体がリスクである」と言う認識を持たなければなりません。
しかしながら、コンピュータにおけるセキュリティでエンド・ポイントを設定している例は稀です。
したがってRisk Managementの面から考えれば、リスクであると言えます。
(続く)
(この絵については、こちら)
- 関連記事
-
- 【Risk Management】#07_セーフティプランニング (2010/04/14)
- 【Risk Management】#06_内部統制と無駄 (2010/04/07)
- 【Risk Management】#05-02_セキュリティ (2010/03/31)
- 【Risk Management】#05-01_セキュリティ (2010/03/24)
- 【Risk Management】#04_言葉 (2010/03/17)
スポンサーサイト
| ホーム |