セキュリティ気をつけて!という記事が続いたので、
今回はちょっと別角度からセキュリティを考えてみましょう。

セキュリティの脆弱性を、セキュリティリスクなんていう言葉で
表現したりします。
”このシステムにはセキュリティリスクがある”なんて言い方しますね。

じゃあ、と言って無尽蔵にお金を掛けれる訳ではありません。
(会社の規模として明らかにセキュリティ投資が少ない場合はありますが)

ですので、優先順位をつけてやれるところから
対応を実施していくことになります。
そうすると、対応が実施されるまで期間が相手しまう部分がありますね。
もちろんそれを踏まえての優先順位付けなのですが、
その間のリスクは、「リスクを受容する」という対応となります。

リスクを受容するとは、
今あるリスクの影響や、事象が発生した場合の損失や対応をきちんと把握し、

「発生してもやむなし、ただその際の対応は確立し、損失も見積もり積み」

というものです。

ISMSでもこのリスクの受容という考え方は登場します。
まあリスク評価と対になりますが。

つまるところ、
「会社の体力だとここまでが限界。あとは腹をくくれよ」
と経営陣に念押しすることです(意訳)

リスク受容はリソースとリスクのバランスを取る上で非常に重要な考え方なので、
ここを間違えると、
”全部できないなら無意味だ”と、0か100かの非現実的なセキュリティ論になってしまい、
ひいては”100ができないから0でもいい”と、
これまた良くない方向に向かっていってしまいます。

自社にとって何が重要なのか、何を守らなければいけないのか、
そしてその優先順位は。

セキュリティ機器やソリューションを導入検討する前に、
一度改めて考えてみてはいかがでしょうか。