お客様先でのCSIRT運営のサポートや各種セキュリティセミナーなどで、リスクアセスメントやリスク対応などについて解説することがあります。
今回は、リスク対応について紹介したいと思います。下記は、その時に使用しているシートです(新型コロナでの対応を例に説明したいと思います)。
リスクとは「悪い事象が起こる可能性」であり、そのリスクへの対応としては、回避・低減(最適化)・移転(転嫁)・保有などがあります。今回の新型コロナの場合は、台湾では、昨年末の段階で中国との人の行き来を遮断するという回避を行いました。日本では、中国からの国賓を招く都合や、東京オリンピックを中止にさせたくない為か、初動で回避に失敗しています。しかし、これはWHOが当初、大きな問題にならない、中国からの渡航者を遮断すべきないとのコメントもあり、欧米でも回避できなかったのは同じです(欧米では【大きなリスクではないと誤認させられた】と中国とWHOの対応を問題視しています)。
上記リスク回避(中国との渡航を中止)を行わないまま、リスク低減ということで、初期はクラスター対策を行ったため、リスクは顕在化し、現在に至っています。
リスクは将来において「悪い事象が起こる可能性」であり、「顕在化した」ということは、セキュリティの世界ではハッキングされてしまった状態と言えます。残るのは、被害を最小にとどめるということで、もはやリスク対応ではなく、障害対応に相当しています。
お亡くなりなった方々、ご家族の方々、闘病中の方々、医療関係の方々には気の毒ですが、欧米の状況(死者が万という数)になっていないのは、リスク対応が良かったのではなく、脆弱性が低かった(強靭であった)と考えています。まだ、油断はせず、衛生管理に注意していくことが重要と考えています。セキュリティ対応も、弱い点をなくす、日ごろの対応と、リスク発生に対して、いち早く検知して、適切な対応を取ることが重要なのだと改めて感じております。