久し振りに 情セキュ研究会に出席。
研究会に出席できなかった理由は、職場や担当業務の問題だったり、研究会の事務局の問題だったり、そんな状況で、自分がやや ヘソを曲げていたり・・・・。
まぁ、なんにしろ復活できて良かったのだ。
研究会のみならず、情セキュの世界から遠ざかっていたので、最近の事情にもだいぶ疎くなっていたわ。
情セキュ規格の 27000シリーズが改定されるとかで、情セキュにおけるリスクの概念も大きく変わるようだ。
いままでは、脅威、脆弱性、資産価値。それに合わせて、説明したり、分析・評価していたものの、ちょっと "無理やり" 感があって・・・・。
これからは、リスク源 という言葉で表されるらしい。リスク源により事象が発生し、それにより 組織が目的とするものに損害が発生するなどの結果が生じる。
この考え方のほうが無理がない。
ただ、ちょっと心配なのは、リスクを(本来、言葉が意味するところの)目的に対する "不確かさの影響" とするところ。
想定以上に良くなることも、想定以上に悪くなることも リスクということになるので、極論を言えば、破産するのもリスクで、大儲けするのもリスク ということになる。
大儲けするリスクを、情セキュ的に分析・評価させるような審査員がいないことを祈るのだ。
まじんがぁ~