Openlaw日誌 このページをアンテナに追加 RSSフィード

2005-07-10追加情報

リスクの概念 リスクの概念 - Openlaw日誌 を含むブックマーク

情報セキュリティの考え方についてもうすこし説明を続ける.本欄では情報セキュリティのリスクマネジメントの観点から考えている.このリスクマネジメントとは,たとえば住基ネットにプライバシー権侵害の可能性が否定できない場合,そのリスクはどれくらいで,どういうセキュリティ対策をとれば起こった時の影響をコントロールできるか,そして投資は元がとれるのか,というマネジメント手法であり,セキュリティ技術者の資格試験でもよく出題される.(こうした情報セキュリティ対策についてはIPAのウェブサイトでも配布されている.http://www.ipa.go.jp/security/awareness/awareness.html)

リスク情報が開示されない(もしくは不確定な)状態で,よりリスクが少なくメリットが多いものを選ぶためには,模擬実験や試算にもとづいて予測を行なう必要がある.つまり,こっちの選択肢はどれぐらいリスキーか,あるいは代理案をつかって同じことをやればどれくらいコストがかからないのか,といった試算をする.

情報セキュリティの専門家はこうしたアプローチをとるのだが,そこで問題になるのが試算のもとになるデータである.この扱いについて金沢地裁は妥当な判断を示している.原告が提出した長野県の公開資料(ペネトレーションテストから他の業者に委託した場合の試算まで)に対して,被告は説得力のある試算を示さなかった.これでは専門家は原告の主張を認めざるをえない.

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20050710