見えないリスクへの対応は両極端になりがち
　今回の新型インフルエンザの流行では、人はウイルスという目に見えないリスクと対峙することになりました。街からマスクが消える一方で、マスクだらけの日本人は異常だ、などといった言説もあり、2009年の5月は興味深い1カ月であったと思います。そして「リスク」について再考する良いチャンスにもなりました。
　本来なら、リスクを正当に評価（リスクアセスメント）することによって、適切なコストによるバランスのとれた対処（リスクトリートメント）を行うべきなのですが、現実には難しいようです。なかなか教科書どおりにはいきません。情報システムに関わるセキュリティリスク問題も同じです。今回は、このバランス問題を考えてみたいと思います。
　一般に、現象がリアルタイムに見えたり、現象のメカニズムが判明しているリスクは対処が容易です。しかし目に見えないリスクや、気付いた時にはすでに手遅れという性格を持っているリスクは、過大に評価されるか、もしくは無視されるかの両極端になりがちです。
　例えば、微量の有害物質に晒された場合、すぐに症状が出る訳ではありませんが、長期間の蓄積によって症状が現れる可能性があります。新型インフルエンザの場合では、出現した初期にはその毒性や感染性の強さも正確にわかりません。おまけに感染してから症状が出るまでの潜伏期間があります。
　つまり、知らない間にリスクに晒されていて、気付いた時には既に手遅れになる可能性がある、というわけです。人は将来を想像しながら生きていくものですが、こうした可能性を計算しづらいリスクの場合は適切な想像もできない、ということです。このために、過大な想像をしてしまったり、想像もできない場合は無視してしまうわけですね。

　リスク無視は最悪の選択…内も外もバランスよく
　手遅れになるといえば、情報漏えい問題もその典型です。流出してしまった情報を、後になって完全に回収することはほぼ不可能ですし、世間に悪評がたってしまえば、それを即時に取り消すことも不可能でしょう。
　今回の新型インフルエンザ流行を見ていて分かるのは、ゴールデンウィークが明けた直後の混乱は、その感染性の高さや症状の重さが正確に予想できないことに起因している、ということです。これがゴールデンウィーク明けに判明していれば、日本中からマスクの在庫がなくなって高騰する、などといった現象（これも損失の一つでしょうか？）は起こらなかったでしょう。
　ここから、情報システムのセキュリティリスク問題について、重要な教訓が得られます。つまり、リスクの予兆が現れた時に、早くその現象を分析できることが大切だ、ということです。基本的にはログの収集とその分析によって、手遅れにならないことが第一です。
　コンピュータウイルスや悪質なWebサイトのブロック、そしてファイアウォールによる外部に向けたセキュリティ対策はログも集めやすく、実施している企業が多いでしょう。もちろん、ユーザやシステム管理者がどのような行動をとっているのか、というログも必要なはずです。
　ところが操作ログ取得のような内部リスクへの対処になると、「社員を信用していないようで対策しにくい」という声をよく聞きます。身近な人に起因する内部リスクは、意外と適切な評価が難しいものです。だからといって無視してしまうのは、リスク対策としてはバランスを欠いた最悪の選択と言わざるを得ません。
　外部の攻撃からシステムを守るコストと、内部リスクへの対処コスト。この二つをバランスよく行うことが、セキュリティ対策コストを考える上での今後の課題になりそうです。