日本ではリスクをゼロイチ的に発想することが多いのですが、一般的な考え方を紹介します。
　一つは、雨が降るときに、窓が開いていたとすると、部屋の中にあったカーペットが濡れる可能性があります。万一、カーペットが濡れた場合は、洗濯に出すなり、修理をすることを考えておく必要があるという考え方です。さらに、雨が降ったら自動的に窓が閉まる仕組みを採用すれば、カーペットが濡れる可能性は限りなくゼロになるという考え方です。
　雨が降ることを脅威。窓が開いていることを脆弱性。カーペットが濡れることを可能性。洗濯に出すことを影響。雨が降ったら窓が閉まる仕組みを導入することを管理策と呼んで、これらできちんとリスクを管理することが大切だという考え方です。
　また、リスクの大きさを資産価値、脅威、脆弱性の三次元のベクトルでとって、それぞれの三要素の掛け算で考えるケースもあります。情報資産が限りなく小さくなればリスクは小さくなります。極端な話、情報資産ゼロならばリスクはゼロです。ただし、リスクの大きさと当事者が危ないと感じる大きさは必ずしも一致していない場合があります。
　よくある話では、原子力発電所と自動車事故のどちらが危ないかという話です。技術的に考えたら絶対に車の事故の方が危ない。しかし、原発を止めろという人はいても、車を止めろという人はいない。このような問題点はリスクを考えるときにも必要です。
　また、三次元に時間軸を入れて四次元で考えることも大切です。
　では、リスクをどのように減らしていくか。結論から言えばリスクは決してゼロにはなりません。自動車事故の例でも、事故に遭わないために車に乗らないと考えても、歩道を歩いても車が飛び込んでくる。自宅にこもっていても車が飛び込んでくる可能性もあり得るわけです。そのように考えたら、限りなくゼロに近づけることはできても、決してゼロにはならない。ですから、一般的にはリスクを保有するということにせざるを得ません。
　このリスクの保有が、わかりにくいのですが、自動車保険の免責金額を考えてください。例えば50,000円の免責金額の場合、事故発生時にそれよりも低い額で補償できれば自分で払うということです。これがリスクの保有になります。これは人、企業などによって変わってきますから、自分たちがどれだけのリスクを保有するのかを考える必要があります。
　基本的には保有するリスクが低くなるように考えていきます。自社のすべてのコンピュータを社内で見直すのはリスクが大きいからアウトソースをするといった場合、自社内のリスクはゼロになりますが、アウトソースという別のリスクは出てきます（図−4）。

図―4

　このアウトソーシングの管理について考えると、最近の例では東京証券取引所でトラブルがありました。メーカーに任せているので担当役員が何もわからない。アウトソースでなく、「丸投げ」です。結局、社長以下役員のほとんどが退職しました。処理は委託できても、責任は委譲できない。アウトソースをしても責任は常に自分にあると考える必要があります。
　ですから、どうしてもゼロにならなければ保険をかけるという考え方ももちろんあります。保険では、一般企業の経営の安定性を考えれば、事故が起こって巨額の費用が突然発生するよりは、保険をかけて毎年同じ費用が出ていく方が望ましいということです。
　アメリカにおける情報セキュリティのアウトソースの割合を見ると、63％の企業がアウトソースしていません。100％アウトソースすることはゼロです。このあたりに日本との違いを非常に感じます。

　平成15年に起こったある自治体のネットワーク障害について、その損失を計算してみました。原因は「何らかの原因により感染したパソコンが庁内ネットワークに接続された」ため、「パターンファイルが更新されてないPCが一定数あったため感染が一気に広がった」とあります。庁内のPCは8,000台あり、2日間8,000台を止めて、そのうち4,000台をさらに1日止めました。
　算出方法はいろいろありますが、職員一人当たりの給与等を1日約50,000円。福利厚生費を含めて、年間1,250万円。職員がPCを1日の業務時間の約20％使用するとして、その他の費用も含めると約2億5,000万円の損失になります。この自治体では、その認識が無いのではないでしょうか。
　しかし、ようやく日本でも事件・事故が起こったときの費用計算をするようになりました。中央大学21世紀COEの研究費で、調査を始めて今年で3回目になりますが、費用損害を計算するようになりました。もちろん、すべての企業・組織が事件・事故を経験したわけではありませんが、そのような計算をしている企業が出てきたことは、セキュリティを考える上で、非常に大切だと思います。
　特に経営者レベルでは、本当に投資対効果があるのかを当然考える必要がありますから、どのような投資対効果の計算をしているか。今年から行うようにしました。ROI（Return on invest-ment）、NPV（Net present value）、IRR（Internal rate of return）のどの計算方法を採用しているか聞いたところ、回答数980のうち17の企業・組織が3つのうち何れかを採用しているということでした。来年、この回答数がどれぐらいになっているか楽しみです。

　最近、日本版SOX法が話題になっており、内部統制を考えることが大切だと言われてきました。ただ、日本では、監査の考え方が根付いていません。
　検査は、決まったルールに基づいてきちんと手続きが行われているかをチェックすること。
　監査は、決まったルール自身に問題がないかを含めてチェックすることです。つまり、ルール自体がリスクを防ぎ、内部統制上望ましい内容かどうかチェックすることは、そのルール自身が現状から考えて不適切だと思えば、そのルール自体を変えなさいということです。
　例えば、金庫室の中に金庫があり、金庫室と金庫の鍵が2つあるとします。それぞれの鍵を支店長と支店次長が持っていなければいけないというルールがあった場合に、どちらか一人が金庫室に入って金庫を開けることは問題があるか、ないかということです。それが不適切であれば、金庫室の鍵は支店次長が持ち、金庫の鍵は支店長が持つというルールに変えなさいということです。そういうことを考えることが内部統制につながります。要するに検査の考え方では内部統制はできません。監査という考え方をしなさいということです。こういう部分が、日本の企業・組織は非常に下手だと思います（図−5）。

図―5

　　それから、セキュリティを考える場合、自然災害のこともきちんと考えた方がいいと思います。
　93年に旧建設省が、国が管理している全国の10河川を対象に集中豪雨を想定したシミュレーションを行ったものがあります。荒川のケースが一番被害が大きく、3日間で550ミリの雨が降った場合、荒川下流域で破堤が発生すると想定した中で最悪なものが、16.75kmの右岸で堤防が決壊したときです。被害額は約40兆円。阪神・淡路大震災のほぼ4倍です。この雨が広域に降った場合、100兆円ぐらいになる可能性もあるかもしれません。ですから、水も決して侮れないと思います。500ミリぐらいの雨で簡単に被害を被る問題があります。
　最後に重大な脅威となった9.11の教訓として、PTSD（心的外傷後ストレス傷害）が大きな問題になる可能性があります。日本でも地下鉄サリン事件でPTSDに罹った方がいましたけれども、もしコンピュータ関係者がPTSDになったらどうなるでしょうか。皆さんの企業・組織のコンピュータ担当者やアウトソース先の担当者がPTSDになったらどうなるかを考える必要があります。9.11では実際にそういう事態が発生したそうです。会社が無くなった。従業員が全員亡くなってしまったというケースもありますが、生き残っていてもPTSDのために何もできなくなってしまったというケースがあると聞いています。東海大地震等が危惧されていますが、このような大規模災害に対する準備も必要になるかと思います。