昨今、ITシステムへの依存度が高まるなか、経営者やマネージャーだけでなく、一般の我々も、日々、情報漏洩やシステム異常など、ITにまつわるさまざまな脅威に晒されている。しかし、いざ、対処をしようとすると、どこから手をつけたら良いのか、何を優先すれば良いのか、また、どれくらいコストをかければ良いのか、頭を抱えてしまうのではないだろうか。そもそもITリスクとは何か、ITリスクにはどのような特徴があるのか、どう対処すれば良いのか、情報セキュリティの第一人者であり、ITリスク学の提唱者でもある東京電機大学の佐々木良一教授に話を伺った。

画像: 佐々木良一氏 東京電機大学 未来科学部 情報セキュリティ研究室 教授 1947 年、香川県生まれ。1971年、東京大学卒業。同年4月、日立製作所入社。システム開発研究所にてシステム高信頼技術、セキュリティ技術、ネットワーク管理システム等の研究開発に従事。同研究所第4部長、セキュリティシステム研究センター長、主管研究長等を経て、2001年より東京電機大学教授(現在は未来科学部所属)。工学博士(東京大学)。 著書に、『ITリスクの考え方』『インターネットセキュリティ入門』(岩波新書)、共著に、『ITリスク学』『情報セキュリティ事典』(共立出版)、『インターネットセキュリティ―基礎と対策技術』(オーム社)などがある。現在は、ITリスク学の確立と体系化に注力している。

佐々木良一氏
東京電機大学 未来科学部
情報セキュリティ研究室 教授
1947 年、香川県生まれ。1971年、東京大学卒業。同年4月、日立製作所入社。システム開発研究所にてシステム高信頼技術、セキュリティ技術、ネットワーク管理システム等の研究開発に従事。同研究所第4部長、セキュリティシステム研究センター長、主管研究長等を経て、2001年より東京電機大学教授(現在は未来科学部所属)。工学博士(東京大学)。 著書に、『ITリスクの考え方』『インターネットセキュリティ入門』(岩波新書)、共著に、『ITリスク学』『情報セキュリティ事典』(共立出版)、『インターネットセキュリティ―基礎と対策技術』(オーム社)などがある。現在は、ITリスク学の確立と体系化に注力している。


「ITリスク」という考え方

――今回のインタビューでは、ITシステムが抱える諸問題に対して、先生が提唱されている「ITリスク」という考え方に基づき、どう対処していけば良いのかをご教示いただければと思っております。まず、なぜいま、ITリスクへの関心が急速に高まっているのか、背景からお話しいただけますでしょうか。

画像: 「ITリスク」という考え方

ご存知のように、いま、世の中の仕組み全体が、ITシステムに大きく依存しています。金融、航空、鉄道、医療、電力やガス、水道などのライフライン、政府・行政サービス、物流など、ありとあらゆる重要な社会インフラがITシステムに依存するなかで、万一、そこに異常が起これば、社会に与える影響は甚大なものであることは言うまでもありません。しかし従来のITセキュリティの枠組みは、ITシステムの異常の原因として、コンピューター・ウイルスのような、ITシステムに対する意図的な攻撃しか想定していませんでした。実際には、ソフトウェアのバグやハードウェアの故障、天災でも同様のことは起こり得るわけで、ITの恩恵を受けている側からすれば、原因はウイルスだろうが災害だろうが関係ありません。このように、ITシステムの安全に対して、従来よりも広い範囲のアプローチによる新たな対策が必要になってきた、ということが関心の高まりの背景にあります。

こうした現状を受けて、私はITシステムの異常をどう防ぎ、またそうした異常に直面した際に、どう対処をすれば良いのかということを統一的に見ていく必要があると考えています。まず、ITシステムの安全について考えるうえで、どのような問題があるのかを整理してみました。すると、次の三つの側面に分けて考えることができます。

① ITシステムの扱う情報の安全
② ITシステムそのものの安全
③ ITシステムが行うサービスの安全

以上の三つの側面に対処するとなると、従来の工学的なアプローチだけでは不十分であり、社会科学的アプローチ、心理学的アプローチを取り入れたプロジェクト・マネジメント的な発想が必要になってきます。同様の考え方として、米国ではトラスト(Trust)※1が、日本ではニューディペンダビリティ(New-dependability)※2といった概念がすでに検討されていますが、前者は①と③について、後者は①と②を対象としていているため、三つすべてを網羅した概念ではありません。そこで、安全の概念をより広く捉えるものとして私が提唱しているのが、「ITリスク」という考え方なのです。

とりわけ重要なのが、安全の問題というのは、起こるか起こらないかわからない、という「不確実性」を孕んでいる点。不確実性を扱う概念としては、すでに「リスク」という概念があり、リスクの考え方をベースにITシステムの問題を捉えることができるではないかと考え、その体系化に取り組んでいるところです。

画像: ITリスク問題が重要になった背景

ITリスク問題が重要になった背景

※1 トラスト
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)だけでなく、信頼性(Reliability)、安全性(Safety)、プライバシー(Privacy)、利用用意性(Usability)などを含む広い安全性の指標。
※2 ニューディペンダビリティ
信頼性、保全性、可用性などを総合した広い意味での信頼性の概念。ディペンダビリティは、「頼りがいがある」「約束を守る」といった意味の言葉で、一般的な信頼性だけでなく、一部が壊れても残りの部分でうまく動くといった、自律的な動作概念を示したコンピューターや制御システムの用語である。

リスクという考え方が必要な理由

――先ほどおっしゃったように、安全の問題には不確実性がついて回ります。そこに対策の難しさがあると思うのですが、実際にそうした問題を、どう具体的に捉えれば良いのでしょうか?

画像: リスクという考え方が必要な理由

リスクというのは、基本的には英語の「risk」のことで、「危険」と訳されることが多いのですが、そのベースにあるのは、「将来の帰結に関する現在における予測」と言えます。まさに、起こるか起こらないかわからない不確実性を伴うわけで、リスクに対する一般的なアプローチとしては、確率論的なアプローチをとることになります。例えば、工学分野の確率論的リスク評価の場合、通常、次のように定義します。

リスク=損害の大きさ×損害の発生確率

これを踏襲するには、まず、リスクを発見し、検定し、大きさを算定することが重要になります。つまり、算定額の大きさに応じて、さまざまな対策を講じれば良いというわけです。発生確率が大きければ、それを下げるような対策を取れば良いし、発生確率が小さく損害も少なければ、許容していくことができる。あるいは、発生確率は小さいけれど、損害額が莫大になるような場合には、リスク移転ということで保険をかける、という発想もあるでしょう。さらには、そもそもリスクをもたないように業態そのものを変えていく、というアプローチもあるかもしれません。

例えば、9.11の直後に、飛行機に乗るのは怖いからと、アメリカでは都市間移動に自動車を使う人が急増しました。 ところが、それに伴い、その後1年間の交通事故死者数が前年比で1,595 人も増加したと言われています(ベルリンのマックス・ブラウン研究所、心理学者ゲルド・ギレンザーの調査結果)。この数は、9.11の不幸なフライトで亡くなった方の約6倍もの数にものぼります。 このように人間の感覚というのは、不確実性を伴うリスクに対して、正しく判断することは困難です。そのほかにも、警察に届けられている強盗の年間件数は約6,000件ですが、この数字を聞いたうえで、人質立てもこり事件と空き巣の件数を予想してもらうと、多くの人は実際とは大きくかけ離れた数字を答えます。たいてい、人質立てこもり事件は10~50件くらい、空き巣は6,000~7,000件と答える人が多いのですが、実際には前者は4件程度、後者は9万件にものぼります。

では、次の問題はどうでしょうか? パスワードが合致した場合に本人だと認める個人認証システムと、指紋かパスワードのいずれかが一致した場合に本人だと認める個人認証システムでは、どちらがより安全だと思いますか?

――指紋かパスワードの一致でしょうか?

いえ、前者のほうが安全です。これも半数くらいの人が間違える問題ですが、どちらか一方が一致するというということは、片方が間違っていても認証されるということであり、危険なのです。それくらい、人間の直感というのは間違っていることがある、リスクに対して直感では対処できない、ということを認識する必要があるのです。

「ゼロリスク」は存在しない

さらに、我が国のリスク対策を難しくしている要因に、日本人特有のリスク観があります。概して日本人というのは、リスクに対してきわめて敏感で、ゼロリスクを求める傾向が強い。しかも、安全よりも安心を求める傾向があります。そうでありながら、実際には対処が難しいとなると諦めてしまう、つまり匙を投げてしまう傾向もある。また、普段はリスクに対しておおらかな人でも、何か事が起こると、国や組織に対してゼロリスクを強く求める傾向があるのも特徴的です。

しかし、そもそもゼロリスクなどというものは存在しません。例えば、9.11 以前、貿易センタービルで働いていた人にとって、あのようなテロ行為が行われる確率などほぼゼロだったはずです。それでも、悲劇は起こってしまった。そして9.11後のテロ対策として、「こんなことが繰り返されてはならない。あらゆる手段を講じて再発を防止しなければならない」という世論が形成されていったのです。

しかしこれに対して、米国の有名な暗号研究者であり、セキュリティ・コンサルタントでもあるブルース・シュナイアー氏は、「そのような言葉に耳を傾けてはならない。これは恐怖にとらわれた者の言葉、典型的なナンセンスである。恐怖を乗り越え、賢明なトレードオフとは何か考えなければならない」と発言しています。つまり、どんな対策をとってもテロを完全に排除することは不可能であり、その対策によって生じる新たなリスクとテロのリスクとの間での比較検討が必要だということを言っているのでしょう。バランスを欠いた対策は、逆にプライバシーや人権の問題をも引き起すことになりかねないのです。

一方で、3.11以降、日本ではリスクに対する捉え方が少し変わってきたようにも思います。想定外のことも起こり得るし、事前の対策が必要であるということを皆さん、実感していらっしゃるのではないでしょうか。ただし先述したように、人間というのは数値を示されたとしても、判断を誤る場合がある、ということを念頭に入れておかなければなりません。そして、ゼロリスクがないことを前提に、何らかの形で定量的なリスク評価を行っていくことが不可欠なのです。

定量的リスク評価の必要性と多重リスク

では具体的に、いかにして定量評価をしていけば良いのか、という話になるわけですが、すべての問題を定量評価していく必要はありません。不確実性が小さく、説明責任が大きいものから優先的に定量化をしていけば良いのです。例えば国が実施するワクチン接種であれば、説明責任が大きいため定量評価が不可欠です。

一方で、自然災害のように、不確実が非常に大きい場合には、ときには格言や行動原理に基づいて対策を立てざるを得ない場合もあります。三陸のある地域では、「津波てんでんこ」という言葉があります。津波に対して、「津波の際には親や兄弟にも構わずにとにかく逃げろ。そうすることで一家全滅を逃れることができる」という行動規範です。同様にITシステムの運用についても、「サーバーに不正侵入があった場合には、ただちにサーバーをネットワークから切り離せ」といった行動原理があります。失敗学を提唱する畑村洋太郎氏も、ITシステムの 開発などに関して、「安全の実現手段には本質安全と制御安全があり、制御安全に頼りすぎてはならない」と提言しています。

もう一つ、リスク対策をするうえで重要なのが、「リスク対リスク」という視点をもつことです。エネルギー危機を救うはずのバイオ燃料が、原料であるトウモロコシの高騰を招き、開発途上国で食糧危機を引き起したように、一つのリスク対策が、別のリスクの原因になることがあります。これを私は「多重リスク」と呼んでいます。
同様のことは、ITリスクにも共通する特徴です。セキュリティ対策とプライバシー対策は、両立することもありますが、ときに対立する場合がある。セキュリティ対策として、情報を送る際には、通常、公開鍵暗号を使うのが一般的ですが、そこには本人の鍵であることを証明するための証明書が付加されています。その証明書には住所や生年月日といったその人の属性情報が書かれているため、個人情報流出につながる危険性があるのです。

もっとも、セキュリティとプライバシーが対立するような多重リスクに対して、技術の導入によってリスクの程度を下げることはできます。例えば、公開鍵証明書を使う代わりに、属性だけを記した属性証明書を渡すことで、その人の属性だけを符号させる、という方法もある。ネットショッピングなどで、単に20歳以上かどうかの属性だけを見て許可をする、というわけです。ただし、安全性や使い勝手では、属性証明書は公開鍵証明書にやや劣る。従って、どのような方法をとるかは、最終的に意思決定関与者の好み次第ということにはなります。

リスクコミュニケーションの大切さ

――公開鍵暗号の問題を例にとってもそうですが、ITリスクを考える際に、多くの関与者がいる、というところが問題になりますね。

画像: リスクコミュニケーションの大切さ

まさにそうです。そこで重要になるのが、「リスクコミュニケーション」です。リスクコミュニケーションとは、「個人とグループ、そして組織の間で情報や意見を交換する相互作用的課程である」と定義されています。 関与者同士でリスクに関連してさまざまな情報を交換して、最終的にとるべき対策を一緒に考えていくことが不可欠ということです。 これは、民主主義を支える公民権、自己決定権、知る権利、説明責任、インフォームドコンセント、情報公開等と同じ根をもつ概念と言えるでしょう。実際には、関与者すべての意見を直接聞くのは難しいでしょうから、各立場の代表としてロールプレイヤーを立ててやり取りをするといった方法が考えられます。

そもそも、不確実性を伴うリスクのような難しい問題を扱おうとすれば、関連する人たちの思いを取り入れて、 落としどころを探っていくしかほかに方法はないようにも思います。例えば、個人情報漏洩対策の場合で言えば、 経営者、顧客、従業員など多くの関与者が存在し、顧客のために個人情報漏洩対策を行うことが、逆に従業員 のプライバシーや労働環境を犠牲にして実施される場合が少なくありません。だからこそ、対策に関しては、 関与者たちが事前に合意形成をしておくことが不可欠なのです。とくに多くの企業がITシステムを抱える現代において、 企業内リスクの見直しと、関与者によるリスクコミュニケーションは必須と言えるでしょう

もう一つ、ITリスクの特徴として、「動的リスク」というものもあります。以前、あるゲーム機器メーカーの機器とソフト 対して、ハッカーが改造・ハッキングをして自由に遊べるようにしたため、メーカーがハッカーを訴えたという事件が ありました。 ところが、そのことがハッカーたちの心情を煽り、逆に攻撃が集中して事態が悪化してしまったのです。 まさに、対策をしたことがかえって逆効果になってしまった。こうなると、技術だけでリスクを回避することは不可能 です。

ITリスクの対策には、社会科学や心理学など、その対策には幅広い知見を取り入れていくことが不可欠である、ということがおわかりいただけたのではないかと思います。

(取材・文=田井中麻都佳/写真=秋山由樹)


Next: 「経営 × ITリスク」後編 ITリスクに向き合う 必要なのは問題の可視化とリスクコミュニケーション >

関連リンク

このシリーズの連載企画一覧

「オープン・イノベーション」協創の手法
IoT×経営 日本版インダストリー4.0が「ものづくり」を変える >
「オープン・イノベーション」成功の条件 >
リーン・スタートアップ×経営 >
社会を変えるM2Mビジネス >
ITリスクの本質と対応策 >
ビッグデータ活用の鍵 >

This article is a sponsored article by
''.