経産省、不安をなくす指標作りへ

　こんにちは、丸山満彦です。27日は津山＠岡山県で講演があるため、岡山まで来ています。インターネットで検索しているとたまたま、ITメディアの
　「セキュリティ、どこまでやれば大丈夫？」――経産省、不安をなくす指標作りへ
という、経済産業省の田辺課長補佐の講演記事が目につきました。情報セキュリティガバナンス研究会の話ですね・・・。私の思うところを・・・

　
　セキュリティ対策をどこまですればよいのかわからない。と言う声は私もよく聞きます。そのための指標づくりを経済産業省がするそうです。セキュリティのカテゴリー毎に評価指標をつくりレーダーチャートをつくり、どこが不足しているのかが解る仕組み・・・そういうことを考えているそうです。
　セキュリティ対策は便益（収益-費用）vsリスクの構造の中で考えなければなりませんね。もちろん、情報セキュリティリスクを定量的に評価することは不可能ですので、ある程度まで一定の判断基準に照らして考えて、最後はエイヤっときめなければなりませんね。

　さて、私は最近、この問題に対して別のアプローチを考えています。それで、今読んでいる本は、

自分で決められない人たち
　中公新書ラクレ　矢幡 洋 (著)
　amazon

　情報セキュリティ対策を決められない問題は、私は
①「セキュリティに詳しいセキュリティ担当者が会社のことを慮って決めようとするが、権限も責任もないので決められない」
という話と
②「自分で決められない責任者」
の問題があると思います。根本的な問題は②と思うので、上記の本を読もうと思ったわけです。最後は、エイヤっと決めざる得ませんから・・・。

　経済産業省が指標をつくっても、やっぱり指標を見ても決められないということにならないだろうか？と思ってしまいます。

　余談ですが、アメリカで働いていた時、仲間と昼食に行くとき、「何が食べたい」と聞かれて、「何でもよいよ・・・」というと、アメリカの仲間が怪訝な顔をしたのを覚えています。その時、「そうか・・・。自分の意見を言わなくてはならないのだ・・・」と思いました。それから、相手に反対されるか賛成されるか気にせずに自分の意見を言うことにしました。

---

このブログの中の意見は私見であり、所属する組織の意見ではないことをご了承ください。