この概念のなんと理解し難いことか。諸先生の話を何度聞いても分からない。先ず、脅威の大きさを発生頻度だけで論じることに抵抗を感じる。発生頻度に落とすと言うことは、それ以前に識別された脅威は、脅威の大きさの概念を併せ持つと理解せざるを得ない。
脅威には、「脅威の種類+脅威の大きさ」があって、その上でそれの発生頻度を見定める形になる。
脅威の種類:地震
脅威の大きさ:震度6
発生頻度:10年に1回
これでワンセット。
脅威の種類:地震
脅威の大きさ:震度3
発生頻度:1月に1回
これでワンセット。
震度3は普通のオフィスでは無視できる。震度6に着目して分析すればよい。ところが、精密作業工程が入る場所では震度3も無視できないが、震度6への対応で包含できるなら無視できる結果になる。では、震度8(?存在するかな)が500年に1回発生する場合は、普通のオフィスはぎギブアップ(リスクの受容)するだろうが、データセンターとか震災時の対策本部では受容とは行かないだろう。ギブアップの場合は、発生時のコンテンジェンシープラン、事業継続計画での対応となる。若干、理解が進んだ気がする。
.*.
地震と言う脅威の発生頻度は何となく分かるとして、インターネット経由する不適切アクセスという脅威は、年に何回というオーダーでなく数分、数秒に1回発生しているが、これも頻度として横並びにしていいのかという疑問が沸く。ここでも、脅威の大きさ(言い換えれば深刻度合い)をどのように捉えるかがポイントになるのだろう。情報資産のCIAを脅かす程度の深刻さをもつアタックの頻度は?と考えると様子はガラッと変わってくる。ファイアウォール(既存の管理策)が働いているからに他ならない。
成程ね。情報資産価値CIAのいずれかに影響を及ぼす程度の脅威、しかも既存の管理策を乗り越えてやって来る脅威(この場合はリスクなんでしょう)についてのみ、頻度を推定すればよいことになる。
ソニーがアノニマスグループに狙われたように特定集団の標的になるケース、既存の管理策に穴が開くケース、新たに発見された脆弱性への攻撃、新たに作り出された手口など。
.*.
と、無理やり考察を続けてきたが、時間軸をどのように区切ればよいかの答えが出せるとは思えない。
脅威の頻度とは何か。インシデントの発生頻度でしょうか?その為の対策の頻度でしょうか?その為の管理スパンのサイズでしょうか?
最低の頻度として、「殆ど発生しない」を入れるのは所謂ナンセンス。必要なら事業継続的な観点の施策を検討すればよい。頻度の管理スパンに入れるのは意味が無い。企業経営における管理スパンを見た方が、時間軸のサイズを捉えるのは分かりやすくなりそうだ。
中長期計画(2年~10年)、長期計画(2年~10年)、中期計画(2年~3年)。2カ年計画、年度計画、上期・下期の半期計画、四半期計画、月度計画、週次計画、日次計画、業種・業務によっては1日をもう少し区分して計画管理するケースもあるだろうが、「計画管理」のスパンは概ねこのような刻みになる。中長期計画に力点を置かない(作成しない)企業もあると聞く。経営のスピードに対する考え方も変わってきているようだ。
- 中長期計画のスパンで遭遇する可能性を認める。(1000~3000日)
- 年度または2カ年計画のスパンで遭遇する可能性を認める。(300~600日)
- 月度または四半期計画の中で遭遇する可能性を認める。(30~90日)
- 日次または週次計画の中で遭遇する可能性を認める。(1~7日)
あまり特殊でない業種業務なら、上記の4段階設定は収まりが良さそうだ。個々の事情を反映して組織の区分とすればいいだろう。
.*.
さてと、次は「頻度の掴み方」です。
例えば、携帯電話を紛失するリスク。脅威は内的・外的を含めて色々ありそうですが、結果紛失することは、年度または中期的スパンで発生する可能性を認めるでしょが、1千人も従業員が居れば、毎月のように紛失事故は有り得る話です。
携帯電話が今後スマートフォン化することを視野に入れれば、個々の頻度は小さくてもカテゴリーで捉えた時の頻度も考慮したくなるものです。「脅威の積み重ね効果」を織り込む方法論が必要に思われます。統計分析的なアプローチを踏まえたカテゴリーリスク・カテゴリー脅威の理解を事務局部門は試行すべきです。
.*.
個々の情報資産に対する脅威・脆弱性だけでリスクを評価していると、カテゴリーに対する適切な施策を打てない懸念があります。詳細リスク分析アプローチの弱点と理解していいでしょう。これを回避するにはベースラインリスク分析アプローチが有効に成ります。
「脅威の積み重ね効果」への対応にはベースライン方式。
「ここの脅威」への対応には詳細方式。
この両方を併用することが必要。ベースラインで全て間に合わせるのは個々の事情が反映されていないので返って無理なやり方を強いることになりかねません。
.*.