幼稚なパラドクス:資産細分化によるリスク縮小でリスクアセスを捻じ曲げる詭弁家に要注意!
分かりやすい例え話は「1千万円以上の発注は役員決済、それ以下は部長決済」とした場合、発注を全部1千万円以下に分割して全て部長決済で逃げ切る手法。この手法を盾にとって決済区分を決めても意味が無いと主張する詭弁をコンサルの中にも審査員の中にもいるのだから驚く。本旨を外してこの連中は一体何をやっているのかと疑う。今尚現役でやっているのだから注意あれ。
リスクを探す活動をリスクを隠す活動に摩り替えているので、問題が起きたらクライアントは自分で被害を被るしかないのです。特に某審査機関とそれに連携するコンサルには多いように思います。
.*.
幼稚なパラドクスを展開してリスクアセスメントを否定する輩が後を立たない。ISMS(ISO27000)はリスクアセスメントを基本したPDCA型のマネジメント方法論であるにも関わらず、リスクアセスメントの理解が不十分なことを棚に上げて、方法論そのものを否定し始める。
ISMSのセミナーなどに出ると最初にぶつかるのがリスクアセスメント。驚くのはISMS審査員の中にもリスクアセスメントを理解できていない人がいること。審査機関の傾向もありそうだ。やたらベースライン方式を薦める審査員は過剰な負荷を軽減するための手助けかと思ったら実は詳細リスクアセスメントを正しく理解していなかっただけと言うのも有るようだ。
.*.
資産価値×脅威の頻度×脆弱性=リスク値
リスク値は上記の計算式で求めるが受容レベルを設定すること小さなリスクはそのまま受け入れる。
.*.
パラドクスはどのように展開するか。『脅威を細区分(細かく分解)することにより、発生頻度が小さくなり、もたらされるリスク値も小さくなる。結果、全てのリスクは受容される。』
例えば、震度7.00の自身発生頻度、震度7.01の発生頻度、震度7.02の発生頻度と細かく分けてリスク評価をやる分けだ。『どの地震に対しても対策不要が導かれるから、リスクアセスメントの方法論じたいに正当性は無い』と主張する。
火災を例にしても簡単に出来ます。火災の発生頻度を原因別でも現象別でも細かく見ていくとそれぞれの発生頻度は下がるから、いずれ全てのリスクが受容されることになると主張してきます。でも火災はある確率で発生している訳でどの組織もそれなりの対策を実施している。こういう矛盾を持つリスクアセスメントは意味が無いとやる訳です。
こういうパラドクスを弄ぶ詭弁家を時々見かけます。
リスクアセスメントが面倒なものだから、こういう詭弁で以ってリスクアセスメントを手抜きで済まそうとする。馬鹿なコンサルがいて悪乗りしているから始末が悪い。
.*.
さて、如何すればこの詭弁家は退散させられるか?
答えは超簡単。足し算するだけです。リスク値の本質は期待損失(普通は年間期待損失額)です。どのように分解しようとトータルの損失額が減る訳では有りません。トータルが受容できるレベルなら何もしなくて済みますが、実際は受容できないので分解作業を始めるのですが、この分解作業は詭弁のためでなく、施策を有効にするための優先領域を見つけるために行います。
情報資産、脅威、脆弱性をそれぞれどの程度粗くまたは細かく見るかは試行錯誤が必要だろう。キーとなる資産については「粒感」(つぶかん)と表現する人もいる。そのときにポイントとなるのは管理の視点になる。管理者と管理策である。管理者が変わる場合、または管理策が変わる場合は「粒」を変える。
地震なら、建築物の構造の領域は総務部門だろうし、設置された機器類の対策は当該部門となる。機器類の管理者は構造破壊の領域まで見る必要は無い。火災も原因によらず誰が何をするのかで見れば自ずとある塊にならざるを得ない。
.*.
詭弁は手抜きの方便でしかないのが残念。リスク低減のためにどのようにアプローチすべきか紳士に取り組んでもらいたいものだ。
.*.
人気の投稿:月間
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評... -
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混... -
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の... -
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務... -
遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設... -
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた... -
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、... -
審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある... -
オフィスの清掃は誰の仕事か? 清掃業者に委託している。オフィスが入居しているビル管理会社が清掃業者を指定することが多い。入居して会社はいくつもあってそれぞれが勝手に清掃会社と契約するとビル管理会社として煩雑になるので自分で決めてしまうことになる。それは時としてビル管理の... -
移動工数の単価? 審査している時間に費用を払うのはいいが、移動時間にも費用払うのかな。拘束してるのだから何らかの費用は払う。でも単価は移動単価にしますというのもあるんだろうね。 審査員を時間単価いくらで何時間拘束ですとロジックを組めば移動も審査も関係ないとなる。 本当...
人気の投稿:年間
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
-
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
-
遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設...
-
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
-
審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある...
-
経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規... -
適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
人気の投稿
-
ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
-
問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
-
経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
-
クリアデスクは時間の無駄? クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。 クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため... -
ISO 27002 :2013関連情報 いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。 さてと、 要求規格ISO2700... -
ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
-
(ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
-
名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない? ベネッセの罪: http://www.benesse.co.jp/ 預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\50... -
ASR :エイエスアール株式会社 あまり馴染みのない会社ですが、設立は2000年。審査機関として10年以上の経験があるのかな? http://www.armsr.co.jp/index.html 2011年11月の審査実績がJIPDECのデータでは38件。この件... -
嗚呼、勘違いの情報資産台帳 情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。 ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が...