つい先日、最近、失敗や自分が傷つくことを恐れ、リスクを取らない「ゼロリスク思考」にある若い人が増えており、それが若者の出世願望や結婚願望の低さにつながっているといったニュース記事を目にしました。
この記事を読んだ時に、この「ゼロリスク思考」というキーワードには少しひっかかるものがありました。
今回は、組織運営において災害や情報セキュリティなど、様々なリスクと向き合っていく中での「ゼロリスク思考」の危険性、そしてリスクマネジメントの重要性について考えてみます。
リスク対策を考える上での初歩的な内容になるかと思いますが、おつきあいください。
組織運営におけるゼロリスク思考の問題点
「ゼロリスク思考」とは、あらゆるリスクを排除し、リスクが全くない状態を追求し続けることです。
しかし、多くの方が感じておられるように、特定環境下で100%の安全、つまりゼロリスクを達成することはほぼ不可能です。
ゼロリスクを追求した場合、それに要するコストは指数関数的に際限なく肥大化していきます。しかも、投入する費用に対して得られる効果は、一定の水準を超えたあとは急激に下がっていってしまいます。
また、「リスクをゼロにする」ことが絶対的な目標になることで、「リスクが存在しないように報告する」といった、隠蔽や不正が発生しかねないことも懸念すべき点です。
このように考えると、この「ゼロリスク思考」が組織経営の大きなリスクとなりかねないという問題点も指摘されています。
まず私たちは『いかなる努力をしてもリスクはゼロにすることはできない』という事実に向き合う必要があります。
リスクをよく理解し、適切な範囲で受け入れる
上記のような理由から、ゼロリスク思考は組織経営にとって合理的とはいえない点が多数ありますが、それでも、小さいリスクを過剰に恐れるがあまり、ゼロリスクを追求してしまう経営者は後を絶ちません。
これは何故なのでしょうか。
米国の心理学者ポール・スロビック博士は、専門家でない一般人がリスクを認知する際には「恐ろしさ」と「未知性」、2つの因子によって判断されると提唱しました。
このうち、注目したいのは後者の「未知性」です。
つまり私たちは、自身に馴染みがなく、よく知らないものほどそんなリスクはゼロにすべきだという感情的拒否をしやすいのです。
すなわち、リスクとの適切な向き合い方とは、リスクをゼロにすることではなくリスクをよく分析・理解した上で、コストに見合った必要な対策を講じ、「適切な範囲でリスクを受け入れる(受容する)」ことです。
孫子の兵法書の一説に「彼を知り己を知れば百戦危うからず」とあります。リスクをよく知っていればリスクを過剰に恐れる必要はないのです。
情報セキュリティ対策もゼロリスクからウィズリスクへと変遷
ゼロリスク思考の問題点と、リスクとの適切な向き合い方を踏まえた上で、情報セキュリティリスクについて考えてみましょう。
情報セキュリティ対策においても、従来はエンドポイントのウイルス防御やネットワーク層の防御など、『セキュリティを突破されない』ことを前提とした、ゼロリスク思考に近い対策が取られることが主流でした。
しかし、日々新たに生まれる攻撃手法に対して、防御側が対策を講じるイタチごっこを繰り返す中で、リスクを完全にゼロにすることは不可能なことや、一度情報セキュリティ面での対策が突破されると打つ手がないという課題が顕在化したことから、情報セキュリティ対策についてもサイバー攻撃のリスクと共存し、リスクを適正範囲で受け入れる考えに変化してきています。
具体的には、アンチウイルスをすり抜けてウイルス感染してしまうことを前提とし、早期発見、早期復旧、被害軽減、そして証跡調査を実現するためのEDRやMDRなどの製品が、セキュリティ対策において、有効な対策として注目され、普及してきています。
・EDR:Endpoint Detection and Response
・MDR:Managed Detection and Response
また、事業継続計画の中でも、サイバー攻撃等の情報セキュリティリスクを脅威のひとつとして考え、対応計画の策定や演習・訓練を通じて、「被害が発生した場合にいかにして事業を継続するか」を考える重要性が、広く認知され、事業継続力に着目した対策に取り組む企業も増加しています。
重要なのは、特定の製品やサービスを導入すれば、リスクをゼロにできるということは絶対にないということです。
リスクの発生確率、被害想定や業務への影響をよく分析し、許容できないリスクに対して、製品・サービスだけではなく適切な運用を組み合わせながら、被害が発生してしまった場合にはどうするのかを含めて事業継続力を高めていくことこそが、ウィズリスク時代の情報セキュリティの考え方と言えるのではないでしょうか。