「万が一」とは、ネガティブではなくリクス管理をポジティブに考える言葉です

ITセキュリティーの考え方をわかりやすい例で解説

●これまでセキュリティーについて話題にしてきましたが、もっとわかりやすく今のITセキュリティーの現状を、今回も車を例にして解説してみたいと思います。

●現代の自動車にはシートベルトやエアバッグ、ABSなどが標準装備されるようになっています。以前は安全装備でもオプション扱いだったり高級車、高級グレードにしか装備されないものでした。

●安全対策が普及し始めた当初は「シートベルトなど面倒臭い」とか「エアバッグなんていらないから価格を安くしろ」とか「ABS？　英語はわからんわ！」など惨憺たる状況だったと聞きます。しかし、欧米の車が次々と車両の安全対策に乗り出すと、日本のメーカーも輸出の都合上。安全規格を満たす必要に迫られるため続々と追従を始めました。

●ユーザーもできるだけ安全装備が付いたものを求めるようになりました。でも、当初それは安全重視と言うよりも「高級外車と同じものがおらの車にも付いているゾ」というステイタスのためのアイテムとして機能し導入に成功した・・というのが正直なところでしょう。でも、安全車の保険料が安くなったり、実際に命拾いをした人が現れ始めると世相も変わっていきました。

●意識の変化は確実に安全性を高めています。今時、安全装備不十分の車には気持ち悪くて積極的に乗る気はしないはずです。義務化になったからというよりは、それだけ安全に対する意識が実際に高まったということだと思います。要するに装備だけでなく人の意識が変わることが重要なのです。

●ITについていえば、安全対策のために必要なのは「リテラシー」です。物や設備の対策も必要ですがそれ以前に人への対策が重要です。ITセキュリティーで最大のリスク要因は実は「使う人のリテラシー」です。リテラシーの低さがそのままセキュリティーリスクになります。

●ところが、人に対する投資や経費はかけたがらないのが企業の悪い癖です。それが今時のセキュリティーリスクになっています。

安全対策で「万が一」という言葉は実は「起こる」事を前提としている

●「万が一のことのためにそんなことはできない・・・」これは事業などでリスク管理にかかる経費が発生する時に出てくる言葉です。

●この言葉がどれほどこれまで人々を不幸に突き落としてきたか例をあげればきりがありません。

●最近起きた出来事を見ても、万に一つも起こらないと言われるような事件・事故は実際に起きていることばかりです。

●「万にひとつ」ということはサンプル数が1億あれば起きる件数は1万件です。1万件ならとてもじゃないけど、ほとんど起きないとは言えない確率です。自分にも降りかかるかもしれないと思えてきます。しかし、これは言葉のマジックがあるのです。

「万に一つですよ・・」と言われると
「なら、起きないよね・・」となりますが
「1億につき1万ですよ・・」と言われれば
「それってヤバいよね・・」となるのではないでしょうか？



●示している内容は同じでも、言い方次第で感じ方が変わってくるというのは人間が如何に言葉に左右されやすいかという証拠でもあります。

●「万に一つ」・・・この言葉の落とし穴はまさにここにあります。

●安全対策において、それは「起きない」ことを言っているのではなく「起きるかもしれない」という前提で使われる言葉なのです。ですからビジネスなどで「これは万が一のためのものだから無くてもよい・・」などと起きない前提で使うのは間違いで実は「騙し」のテクニックなんです。経費削減の説得のために使われている可能性があります。

●そういうことを言うと、「そんな悪いことが起きるというネガティブな考え方ではいけない、物事はポジティブに考えないと」という人が出てきます。それはリスク管理を軽視しているか、やりたくないい時の決め台詞になっています。非常に危険です。そのような考えがもとで大事故大事件になったことはこれまでに数多あります。

●万が一のために、飛行機にはフェールセーフシステムがあり車にはエアバッグ、ABS、衝突安全センサー等があります。人工衛星「はやぶさ」は万が一を考えていた設計思想で帰ってくることが出来ました。


※万が一とは「起こりうること」という前提。安全対策はポジティブに考える。

●ウイルスや不正アクセス、情報漏えい、大規模ネットワーク障害などIT関連でも近いうちにわが身に降りかかるかもしれません。

●そんなネガティブなことは考えてはいけない・・ではなくネガティブなことが起きても大丈夫なようにポジティブに対策を取っておくということがこれからのITには必要です。

NetProve ネットプローブ「情報管理サービス」
九州インターワークス
http://www.kumin.ne.jp/kiw/security.html