リスク対策の優先順位を考えるヒント－リスクを因数分解して考えてみる

メニュー

標的型メール訓練と言えば、標的型攻撃メール対応訓練実施キット TOP
セキュリティ対策に効くクスリ
リスク対策の優先順位を考えるヒント－リスクを因数分解して考えてみる

限られた予算の中、リスク対策はどこから手を付けていけばいいのか？また、今後どこに重点を置いて対応をしていけばよいのか？といった話題は尽きません。

映画「ダイ・ハード4.0」で登場したようなサイバー攻撃が実際に起きたなどということはありませんが、だからといって、「そんなことは実際には起きやしない」と豪語し、自社の顧客に向かって、「起きやしないことへの対策など無駄だからやりません」などと言おうものなら、「もし起きたらどうしてくれるんだ！」とクレームがつけられることは必至でしょう。

とはいえ、じゃあ、顧客の手前もあるので、対策を考えるか？というと、想定する危機によっては、荒唐無稽なものもあります。

バカなことは、本当にバカなことなのか？

災害は突然襲ってくるいつ何時、空から何が落ちてくるかわからないからと言って、ヘルメットを四六時中かぶっている人がいたら、誰もが「何をバカなことを・・・」と思うのと同じように、顧客からクレームがつくからといって、「何をバカなことを・・・」に相当するようなことをするのは、果たしてどうか？とは誰もが思うことです。

しかし、今の世の中、鳩のフンくらいは空から落ちてくることがあるかもしれません。

ヘルメットをかぶっていたことで、それを防ぐことができたとしたら、ヘルメットをかぶっていた当人は「それ見たことか」と思うわけで、隕石が落ちてくる確率はものすごく低いが、鳩のフンが落ちてくる確率を考えると、ヘルメットを四六時中かぶることが本当に「バカなこと」と言えるのか？と問いかけられると、答えに窮する人も出てくるかもしれません。

実際、ヘルメットをかぶっていなかったら、鳩のフンに当たって被害が出ていたとなれば、ヘルメットをかぶっていたことが間違いだったとは言い切れないでしょう。しかし、ヘルメットを四六時中かぶるのは、常識的に見て「異様な光景」です。

さて、少し前置きが長くなりましたが、実はこのような議論こそ、荒唐無稽と言えます。

数学的に物事を考えないから、議論が迷走する

どちらが正しいか判断できないのは、リスクの大きさを正しく捉えられていないからに過ぎません。リスクを次のように因数分解して考えれば、四六時中ヘルメットをかぶることがいいか悪いかは簡単に判断が付くはずです。

リスク自体はゼロにすることはできません。ゼロにできない以上、何かしらの影響（リスクの大きさ）が生じます。

結局のところ、その影響を受け入れることができるかどうか？という話であり、真に考えるべきは、受け入れられるレベルにするために必要なことは何か？ということでしょう。

鳩のフンの話でいえば、「四六時中ヘルメットをかぶる」という行為は、分母にあたる「鳩のフンによる危害への対応力」を無限大にしているに等しいと言えます。

しかし、鳩のフンに当たったところで大して気にならないというのであれば、分子となる「危害の発生頻度×危害による影響度」で表される「リスクの大きさ」は無視できるほどに小さくなるので、分母を大きくする必要性はありません。

分母となる「危害への対応力」を大きくする必要が無いのですから、「四六時中ヘルメットをかぶる」こと自体、ナンセンスな行為ということになります。

ところが逆に、一度でも鳩のフンに触ってしまったら一生後悔してしまうというように、受け入れ難いほどに十分大きなリスクだと思う人であれば、「四六時中ヘルメットをかぶる」ことは、リスクの大きさを小さくするためには必要な措置ということになります。

物事を数学的に分解して考えてみるとスッキリするものです

どちらがいい・悪いということではなく、リスクを因数分解して考えた時に、受け入れられる程度の大きさのリスクにするための措置として、それが妥当かどうか？ということで、いい・悪いは、それによって大きく左右されることになります。

このようにして考えれば、「四六時中ヘルメットをかぶること」が「バカなこと」なのかどうかを議論すること自体が荒唐無稽であるということの意味が、ご理解いただけることと思います。

リスク対策について、どこから手を付けていけばよいか？は、各々のリスクを因数分解し、

まず、それそれのリスクの大きさが受け入れ難いレベルにあるのか、
そうでないのかを選り分け、

受け入れ難いレベルにあるものについては、
それぞれの要素に対してどのような打ち手があるのか？

また、その手を打つことによって、
受け入れ可能なレベルにどこまで近づけることができるのか？
そして、それはどれくらいの費用・手間・時間がかかるのか？

を考えた時に、いずれから対応していくのが最善の選択であるのか？を考えればいいということになります。

セキュリティ対策も数学的に考えれば、モヤッとしていたこともスッキリ見えてくるものです。

この話を読まれて、この考え方は、今後のセキュリティ対策の検討に適用できそうだ。と思っていただけたのではないでしょうか？

←前の記事へ（大きな事故なんて起きやしないという慢心は、高い代償になって返ってくる）
→次の記事へ（その模擬訓練は本当に成功？現場では消化試合になっていませんか？）

サブコンテンツ

訓練実施コストの問題はキットがあれば解決できます！

標的型攻撃メールを実際に従業員に体験してもらう
「標的型メール訓練」は、組織全体のセキュリティ意識向上に
繋がります。標的型攻撃メール対応訓練実施キットは、
自前で実施するための方法・ツール・テンプレートによって、
外注に頼らず、自前で訓練を実施することを可能にします。

キット開発・販売元　縁マーケティング研究所

利用期限なし！の「キット評価版（無料）」をご提供しています

標的型攻撃メール対応訓練実施キットについて、自社でも使えるものなのかどうか、実際に使って確かめてみたい、また、キットが具体的にどのようなものなのか知りたい。というニーズにお応えするため、利用期限なしでお使い頂ける「キット評価版」を無料でご提供しています。

評価版を申し込んだからといって、しつこく売り込みをする。なんていうことはありません。是非、納得いくまでお使い頂き、ご不明な点などがあれば、どのような事でもお問い合わせ下さい。１社でも多くのお客様にキットを気に入って頂きたいからこそ、是非、納得いくまでキットをお試し下さい。

キットの評価版を入手したい方は、「キット評価版の詳細を見る」をクリックして、詳細ページにお進みください。

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!

リスク対策の優先順位を考えるヒント－リスクを因数分解して考えてみる